O que o Android Sync'd Data é criptografado? -- 2.2-froyo campo com sync campo com security campo com encryption campo com privacy camp android Relacionado O problema

What Android sync'd data is encrypted?

24
vote

problema

português

com o lançamento do plug-in de firesheep/codebutler.github.com/fireesheep/"> Firefox para o Firefox Tornou-se trivial para navegação em redes abertas Wi-Fi para ser seqüestrado por ouvintes de terceiros.

Android oferece a conveniente opção de sincronização automática. No entanto, temo que meus dados possam ser sincronizados automaticamente enquanto estou conectado a uma rede Wi-Fi aberta enquanto estiver no café local ou shopping.

é todos os dados Android Auto-Sincs criptografados usando SSL ou um mecanismo de criptografia semelhante? É qualquer dado sincronizado automático não criptografado e transmitido no claro para que todos escutem?

update : completamente inseguro !!!! Veja abaixo !!!!

english

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Lista de respostas

13
 
vote
vote
Melhor resposta
 

Nota: respondendo minha própria pergunta como ninguém sabia.

Eu fiz uma captura de pacotes depois de selecionar o menu - & gt; Contas e amp; Sincronizar - & gt; Sincronização automática (também acessível através do widget "Power Control"). O que eu descobri?

para o meu horror (solicitações HTTP do telefone exibido abaixo): 

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip    
 e 
 
  GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip    
 Meus  Contatos  e  calendário  estão sendo transmitidos  não criptografado ! Eu não sincronizo no momento do Gmail, então eu não poderia dizer se isso é não criptografado. 
 
 Também o aplicativo do mercado de ações (que deve ser um serviço porque eu não tenho o widget exibido ou o aplicativo ativo): 
 
  POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>    
  Completamente  Solicitação não criptografada para cotações de ações: Apenas pense, você poderia se sentar em Starbucks no centro financeiro da sua cidade e pacotes - farejam quais citações eram importantes para todos os usuários de telefone inteligente. 
 
 Outros itens que não foram criptografados: 
 
     
  •  solicitação http para  htc.accuweather.com  
    •  
  •   Tempo  Solicitação para  ABCDEFGHIJKLMNABCDEFGHIJKLMN4  (nem use NTP) 
    •  
 
 Sobre os dados  apenas  que é criptografado no meu telefone são as contas de correio que configurei com o aplicativo K-9 (porque todas as minhas contas de e-mail usam SSL - e felizmente as contas do Gmail são, por padrão , SSL; e  yahoo! Mail suporta IMAP usando o SSL  também). Mas parece  nenhum  dos dados de sincronização automática do telefone fora da caixa é criptografado. 
 
 Isso é em um  HTC Desire Z  com Froyo 2.2 instalado. Lição:  Não use telefone na rede sem fio aberta sem tunelamento criptografado VPN  !!! 
 
 Observação, captura de pacotes tiradas usando o TShark na interface PPP0 no nó virtual executando o Debian conectado ao telefone Android via openswan (ipsec) xl2tpd (L2TP).
 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Resultados capturados em um LG Optimus V (VM670), Android 2.2.1, estoque, enraizado, comprado em março de 2011.

A partir de hoje, os únicos pedidos não criptografados que eu poderia encontrar em um pcap tirado durante um resync completo foram:

álbuns da web do Picasa 

  GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip    
 é isso. 
 
 Picasa foi o único serviço que eu poderia encontrar sendo sincronizado não criptografado. Facebook solicitou imagens de perfil de par (mas não passou nenhuma informação de conta); Skype solicitou anúncios; e Tooyoou pegou uma nova imagem da bandeira. Nenhum dos relacionados ao sincronismo, na verdade. 
 
 Então parece que a segurança de sincronização do Google foi apertada um pouco.  Desligar a sincronização de álbuns da Web do Picasa  e todos os seus dados do Google devem ser sincronizados em formulário criptografado. 
 
 mercado 
 
 Isso me incomodou um pouco: 
 
  GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager    
 O retorno deste é um 302 movido temporariamente que aponta para um URL de download altamente complexo: 
 
  HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked    
 o gerenciador de download do Android vira ao redor e solicita que o download do local, passando o  MarketDA  cookie novamente. 
 
 Eu não sei se há algum perigo de segurança de como os downloads do mercado são apks. O pior que posso imaginar é que os downloads APK não criptografados abrem a possibilidade de interceptação e amp; Substituição com um pacote malicioso, mas tenho certeza que o Android tem verificações de assinatura para evitar isso.
 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     
Clique aqui para obter mais respostas do O que o Android Sync'd Data é criptografado?

Perguntas relacionadas

2  Como remover o arquivo de "arquivos recentes" no Android 10?  ( How to remove file from recent files on android 10 ) 
No aplicativo Arquivos Android 10 (Pixel 2 XL), há uma categoria "recente". Por razões de privacidade, eu queria excluir um arquivo nesta categoria. Tanto qua...
90  Por que tantos aplicativos requerem permissão para ler o estado do telefone e a identidade?  ( Why do so many applications require permission to read the phone state and ident ) 
Por que tantos aplicativos exigem permissão para ler o estado do telefone e a identidade?. Especificamente: Phone calls read phone state and identity ...
24  O que o Android Sync'd Data é criptografado?  ( What android syncd data is encrypted ) 
com o lançamento do plug-in de firesheep/codebutler.github.com/fireesheep/"> Firefox para o Firefox Tornou-se trivial para navegação em redes abertas Wi-Fi p...
26  Por que a nova atualização do Chrome quer que a permissão use minha câmera e gravação de áudio?  ( Why does the new chrome update want the permission to use my camera and audio re ) 
Sério, afirma especificamente que pode usar a gravação de câmera e áudio a qualquer momento que quiser ou não, eu desejo ou não . Por que o cromo no Android ...
3  É possível fazer uma chamada sem ter acesso à lista de contatos?  ( Is it possible to make a call without having access to the contacts list ) 
É possível fazer uma chamada sem dar acesso aos contatos do telefone? Isto é Diga que eu deixo um amigo usar meu telefone e bloquear meus contatos, de modo qu...
2  Pode app ops executado em 4.4.4?  ( Can app ops run on 4 4 4 ) 
Eu instalei e tentei vários dos " App ops " Aplicativos Starter da Google Play Store. Quando eu executo qualquer um deles, uma caixa de diálogo aparece dizend...
0  Isso é possível para o cache de papel de parede economizado na pasta Android / Data sendo hackeada? (Nao enraizado)  ( It that possible for the wallpaper cache saved in android data folder being hac ) 
Meu namorado estava brincando comigo, colocando minha foto privada como papel de parede. Eu deletei a foto, mas o papel de parede ainda permanece lá ... A...
2  Meus contatos são criptografados no meu android?  ( Are my contacts encrypted on my android ) 
são os meus contatos criptografados no meu android e onde estão eles? Como posso acessá-los? Alguma APIs Pública? (Do PC) ...
6  Por que os aplicativos do App Locker precisam de tantas permissões? Estou seguro?  ( Why do app locker apps need so many permissions am i safe ) 
Eu tenho tentado proteger a senha um aplicativo, e parece que as permissões variam de aplicativo para app para cacifos de aplicativos. Por que muitos deles ...
9  Como você criptografa seu dispositivo que funciona CyanogenMod 12.1?  ( How do you encrypt your device running cyanogenmod 12 1 ) 
CyanogenMod 12 e 12.1 Configuração 'Encrypt Phone' está quebrada e tem sido por um bom tempo. Existe alguma maneira de criptografar o telefone de alguma out...

Perguntas relacionadas

2  Como remover o arquivo de "arquivos recentes" no Android 10? 
90  Por que tantos aplicativos requerem permissão para ler o estado do telefone e a identidade? 
24  O que o Android Sync'd Data é criptografado? 
26  Por que a nova atualização do Chrome quer que a permissão use minha câmera e gravação de áudio? 
3  É possível fazer uma chamada sem ter acesso à lista de contatos? 
2  Pode app ops executado em 4.4.4? 
0  Isso é possível para o cache de papel de parede economizado na pasta Android / Data sendo hackeada? (Nao enraizado) 
2  Meus contatos são criptografados no meu android? 
6  Por que os aplicativos do App Locker precisam de tantas permissões? Estou seguro? 
9  Como você criptografa seu dispositivo que funciona CyanogenMod 12.1? 


Termos de serviço
Contate-Nos
sobre nós
Política de Privacidade

github.com
stackoverflow.com
developer.mozilla.org
webdeveloper.com

© 2022 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.