Korrekt. Das ist letztlich ein generelles Problem, wenn man Netzwerke fremder (unbekannter) Dritter nutzt. Die fehlende WLAN-Verschlüsselung erweitert diesen Angriffsvektor allerdings auf sämtliche Dritten in der Nähe.
Nochmal zur Klarstellung: Die Option, dass der Hotspotbetreiber selbst der böswillige Akteur sein könnte, habe ich lediglich der Vollständigkeit halber mit eingeschoben, das war nicht meine Hauptaussage oben.
Also nach den mir bekannten Zahlen (Stand 2023) liegt die Zahl der Websiteaufrufe, die HTTPS verwenden, bei knapp 80 %. Das ist eine beeindruckende Steigerung im Vergleich zu 2013 - bedeutet aber auch, dass ca. 20 % des Traffics nach wie vor unverschlüsselt ist, und das ist m. E. noch weit entfernt von „nahezu null“. Am Ende reicht ja eine einzige Verbindung, die man manipulieren kann.
Richtig ist aber auch, dass der Sprung von einer manipulierten Netzwerkverbindung zur Kontrolle über das jeweilige Endgerät absolut nicht trivial ist - in der Praxis wird man hier eine Reihe von ausnutzbaren Sicherheitslücken in der jeweiligen Software brauchen. Wie hoch man sein persönliches Sicherheitslevel setzt ist am Ende jedem selbst überlassen.