O que o Android Sync'd Data é criptografado? -- 2.2-froyo campo com sync campo com security campo com encryption campo com privacy camp android Relacionado O problema

What Android sync'd data is encrypted?


24
vote

problema

português

com o lançamento do plug-in de firesheep/codebutler.github.com/fireesheep/"> Firefox para o Firefox Tornou-se trivial para navegação em redes abertas Wi-Fi para ser seqüestrado por ouvintes de terceiros.

Android oferece a conveniente opção de sincronização automática. No entanto, temo que meus dados possam ser sincronizados automaticamente enquanto estou conectado a uma rede Wi-Fi aberta enquanto estiver no café local ou shopping.

é todos os dados Android Auto-Sincs criptografados usando SSL ou um mecanismo de criptografia semelhante? É qualquer dado sincronizado automático não criptografado e transmitido no claro para que todos escutem?

update : completamente inseguro !!!! Veja abaixo !!!!

Inglês Original

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Lista de respostas

13
 
vote
vote
Melhor resposta
 

Nota: respondendo minha própria pergunta como ninguém sabia.

Eu fiz uma captura de pacotes depois de selecionar o menu - & gt; Contas e amp; Sincronizar - & gt; Sincronização automática (também acessível através do widget "Power Control"). O que eu descobri?

para o meu horror (solicitações HTTP do telefone exibido abaixo):

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip    

e

  GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip    

Meus Contatos e calendário estão sendo transmitidos não criptografado ! Eu não sincronizo no momento do Gmail, então eu não poderia dizer se isso é não criptografado.

Também o aplicativo do mercado de ações (que deve ser um serviço porque eu não tenho o widget exibido ou o aplicativo ativo):

  POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>    

Completamente Solicitação não criptografada para cotações de ações: Apenas pense, você poderia se sentar em Starbucks no centro financeiro da sua cidade e pacotes - farejam quais citações eram importantes para todos os usuários de telefone inteligente.

Outros itens que não foram criptografados:

  • solicitação http para htc.accuweather.com
  • Tempo Solicitação para ABCDEFGHIJKLMNABCDEFGHIJKLMN4 (nem use NTP)

Sobre os dados apenas que é criptografado no meu telefone são as contas de correio que configurei com o aplicativo K-9 (porque todas as minhas contas de e-mail usam SSL - e felizmente as contas do Gmail são, por padrão , SSL; e yahoo! Mail suporta IMAP usando o SSL também). Mas parece nenhum dos dados de sincronização automática do telefone fora da caixa é criptografado.

Isso é em um HTC Desire Z com Froyo 2.2 instalado. Lição: Não use telefone na rede sem fio aberta sem tunelamento criptografado VPN !!!

Observação, captura de pacotes tiradas usando o TShark na interface PPP0 no nó virtual executando o Debian conectado ao telefone Android via openswan (ipsec) xl2tpd (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Resultados capturados em um LG Optimus V (VM670), Android 2.2.1, estoque, enraizado, comprado em março de 2011.

A partir de hoje, os únicos pedidos não criptografados que eu poderia encontrar em um pcap tirado durante um resync completo foram:

álbuns da web do Picasa

  GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip    

é isso.

Picasa foi o único serviço que eu poderia encontrar sendo sincronizado não criptografado. Facebook solicitou imagens de perfil de par (mas não passou nenhuma informação de conta); Skype solicitou anúncios; e Tooyoou pegou uma nova imagem da bandeira. Nenhum dos relacionados ao sincronismo, na verdade.

Então parece que a segurança de sincronização do Google foi apertada um pouco. Desligar a sincronização de álbuns da Web do Picasa e todos os seus dados do Google devem ser sincronizados em formulário criptografado.

mercado

Isso me incomodou um pouco:

  GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager    

O retorno deste é um 302 movido temporariamente que aponta para um URL de download altamente complexo:

  HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked    

o gerenciador de download do Android vira ao redor e solicita que o download do local, passando o MarketDA cookie novamente.

Eu não sei se há algum perigo de segurança de como os downloads do mercado são apks. O pior que posso imaginar é que os downloads APK não criptografados abrem a possibilidade de interceptação e amp; Substituição com um pacote malicioso, mas tenho certeza que o Android tem verificações de assinatura para evitar isso.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Perguntas relacionadas

6  Por que novas fotos demoram tanto para aparecer na galeria?  ( Why do new photos take so long to show up in the gallery ) 
Se eu tirar algumas fotos e, em seguida, vá para o aplicativo da galeria, essas fotos nem sempre aparecem imediatamente. Eu tentei fazer com que a galeria atu...

5  Se eu enrolar o dispositivo, posso atualizar para Froyo sem esperar pelo lançamento do operador?  ( If i root the device can i upgrade to froyo without waiting for the operators r ) 
Eu tenho um Samsung Galaxy S e estou atualmente esperando indefinidamente para o operador puxar o dedo para fora e liberar seu bloated edição de Froyo ....

3  Sync Exchange 2010 Notes, tarefas e lembretes  ( Sync exchange 2010 notes tasks and reminders ) 
Meu telefone HTC Incredible S executa o Android 2.2 e tem a capacidade de sincronizar e-mail, calendário e contatos com nosso servidor Exchange 2010 no trabal...

7  Existe uma maneira de exibir áreas de descanso interestaduais na navegação do Google Maps?  ( Is there a way to display interstate rest areas on google maps navigation ) 
Eu tive vários exemplos em que esta informação teria sido útil ao navegar com droid de moto, mas não consegui descobrir uma maneira de chegar às áreas de desc...

9  É possível mesclar contatos de diferentes fontes e enviá-los para o Gmail?  ( Is it possible to merge contacts from different sources and upload them to gmail ) 
Eu gostaria de mesclar contatos de diferentes fontes - i.e., importados contatos do telefone, do cartão SIM e da minha conta do Gmail - e upload do contato fi...

4  Atualizando o desejo irremerado de Eclair para Froyo  ( Upgrading unrevoked desire from eclair to froyo ) 
Atualmente estou executando meu desejo HTC em 2.1 (O2 marcado do Reino Unido, se fizer a diferença) que tenha sido enraizado via não irradiado . Acabei de se...

4  Gerenciar cookies específicos no navegador?  ( Manage specific cookies in browser ) 
Eu gostaria de gerenciar cookies no navegador Android além de apenas "Limpar dados de cookie". O que eu quero fazer, idealmente, é a capacidade de excluir c...

0  Como posso contar qual versão do Voodoo instalar?  ( How can i tell which version of voodoo to install ) 
Eu quero instalar o Voodoo Lagfix no meu telefone, e vejo que há um número de kernels para Froyo em o site de download : stock+Voodoo-Froyo-GT-I9000-XWJS3...

5  Desempenho do Android 2.2 vs. Versões anteriores  ( Performance of android 2 2 vs earlier versions ) 
Uma razão pela qual eu não mudei para o Android no passado é que ele parecia lento quando tentei telefones que executá-lo. Eu vejo que o Google afirma melhor...

59  Quando meu telefone receberá a atualização do Android 2.2 (Froyo)?  ( When will my phone get the android 2 2 update froyo ) 
Android 2.2 (Froyo, curto para "iogurte congelado") foi lançado durante o verão de 2010, no entanto, nem todos os dispositivos que receberão essa atualização ...

0  É possível instalar / atualizar aplicativos da Google Store via PC?  ( Is it possible to install update apps from google store via pc ) 
Alguns meses atrás, fui forçado a desinstalar alguns aplicativos para atualizar outros. Recentemente, perdi a capacidade de receber notificações por e-mail vi...

8  Por que minhas mensagens de texto android (SMS) levam minutos para enviar?  ( Why do my android text messages sms take minutes to send ) 
Eu comprei recentemente meu primeiro telefone Android, HTC Desire Z com Android 2.2 (Froyo). Eu importei todos os meus antigos Nokia E71 SMSs usando o ATHG2...

6  Como posso fazer barras de rolagem sempre visíveis?  ( How can i make scroll bars always visible ) 
Android esconde barras de rolagem, a menos que a janela esteja sendo enrolada ativamente. Isso torna difícil dizer se uma janela pode ser rolada sem realmente...

2  Onde copiar papéis de parede?  ( Where to copy wallpapers ) 
Eu baixei alguns papéis de parede para o meu telefone usando o PC. Agora, em qual pasta do meu telefone Android devo armazená-los para ser visível na Wallpape...

20  O que é o modo de segurança?  ( What is safe mode ) 
Meu "desejo" USC trancado no outro dia. Eu tenho o Android 2.2 instalado. Apenas continuou reiniciando para a tela inicial repetidas vezes e outra vez. Sendo ...




© 2021 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.