O que o Android Sync'd Data é criptografado? -- 2.2-froyo campo com sync campo com security campo com encryption campo com privacy camp android Relacionado O problema

What Android sync'd data is encrypted?

problema

português

com o lançamento do plug-in de firesheep/codebutler.github.com/fireesheep/"> Firefox para o Firefox Tornou-se trivial para navegação em redes abertas Wi-Fi para ser seqüestrado por ouvintes de terceiros.

Android oferece a conveniente opção de sincronização automática. No entanto, temo que meus dados possam ser sincronizados automaticamente enquanto estou conectado a uma rede Wi-Fi aberta enquanto estiver no café local ou shopping.

é todos os dados Android Auto-Sincs criptografados usando SSL ou um mecanismo de criptografia semelhante? É qualquer dado sincronizado automático não criptografado e transmitido no claro para que todos escutem?

update : completamente inseguro !!!! Veja abaixo !!!!

Inglês Original

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

PP. 2013-03-31 00:56:44Z

A revista Alemã Heise tem um ótimo artigo sobre essa pergunta. É apenas em alemão, mas você poderia usar um serviço de tradução. ligação: NES 2010-12-14 10:44:45Z, License: CC BY-SA 2.5

Parece, finalmente, o Google vai cuidar dos dados dos usuários: Eduardo 2011-05-26 21:36:15Z, License: CC BY-SA 3.0

German Heise Magazine has a great article about that question. It's just in german, but you could use an Translation Service. link: NES 2010-12-14 10:44:45Z, License: CC BY-SA 2.5

It seems, finally, Google will take care of its users data: Eduardo 2011-05-26 21:36:15Z, License: CC BY-SA 3.0

Lista de respostas

Melhor resposta

Nota: respondendo minha própria pergunta como ninguém sabia.

Eu fiz uma captura de pacotes depois de selecionar o menu - & gt; Contas e amp; Sincronizar - & gt; Sincronização automática (também acessível através do widget "Power Control"). O que eu descobri?

para o meu horror (solicitações HTTP do telefone exibido abaixo):

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip     e 
   GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip     Meus  Contatos  e  calendário  estão sendo transmitidos  não criptografado ! Eu não sincronizo no momento do Gmail, então eu não poderia dizer se isso é não criptografado. 
  Também o aplicativo do mercado de ações (que deve ser um serviço porque eu não tenho o widget exibido ou o aplicativo ativo): 
   POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>      Completamente  Solicitação não criptografada para cotações de ações: Apenas pense, você poderia se sentar em Starbucks no centro financeiro da sua cidade e pacotes - farejam quais citações eram importantes para todos os usuários de telefone inteligente. 
  Outros itens que não foram criptografados: 
   solicitação http para  htc.accuweather.com  
   Tempo  Solicitação para  ABCDEFGHIJKLMNABCDEFGHIJKLMN4  (nem use NTP) 
 
  Sobre os dados  apenas  que é criptografado no meu telefone são as contas de correio que configurei com o aplicativo K-9 (porque todas as minhas contas de e-mail usam SSL - e felizmente as contas do Gmail são, por padrão , SSL; e  yahoo! Mail suporta IMAP usando o SSL  também). Mas parece  nenhum  dos dados de sincronização automática do telefone fora da caixa é criptografado. 
  Isso é em um  HTC Desire Z  com Froyo 2.2 instalado. Lição:  Não use telefone na rede sem fio aberta sem tunelamento criptografado VPN  !!! 
  Observação, captura de pacotes tiradas usando o TShark na interface PPP0 no nó virtual executando o Debian conectado ao telefone Android via openswan (ipsec) xl2tpd (L2TP).

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

http request to htc.accuweather.com
time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

PP. 2010-12-01 10:24:56Z

Isso é preocupante. Não consigo ver nenhum cookies passando e para frente lá, eles estão sendo enviados no claro também? GAThrawn 2010-12-01 09:47:15Z, License: CC BY-SA 2.5

O PP. 2010-12-01 09:53:43Z, License: CC BY-SA 2.5

Isso ainda é um problema atual no Android 2.3.1? meinzlein 2011-11-25 18:13:51Z, License: CC BY-SA 3.0

Eu acredito que você pode configurar o Android 4 para sempre usar uma conexão VPN intuited 2013-11-25 18:12:39Z, License: CC BY-SA 3.0

That's worrying. I can't see any cookies passing back and forward there, are they being sent in the clear too? GAThrawn 2010-12-01 09:47:15Z, License: CC BY-SA 2.5

The PP. 2010-12-01 09:53:43Z, License: CC BY-SA 2.5

Is this still a current problem on Android 2.3.1? meinzlein 2011-11-25 18:13:51Z, License: CC BY-SA 3.0

I believe you can set up Android 4 to always use a VPN connection intuited 2013-11-25 18:12:39Z, License: CC BY-SA 3.0

Resultados capturados em um LG Optimus V (VM670), Android 2.2.1, estoque, enraizado, comprado em março de 2011.

A partir de hoje, os únicos pedidos não criptografados que eu poderia encontrar em um pcap tirado durante um resync completo foram:

álbuns da web do Picasa

  GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip     é isso. 
  Picasa foi o único serviço que eu poderia encontrar sendo sincronizado não criptografado. Facebook solicitou imagens de perfil de par (mas não passou nenhuma informação de conta); Skype solicitou anúncios; e Tooyoou pegou uma nova imagem da bandeira. Nenhum dos relacionados ao sincronismo, na verdade. 
  Então parece que a segurança de sincronização do Google foi apertada um pouco.  Desligar a sincronização de álbuns da Web do Picasa  e todos os seus dados do Google devem ser sincronizados em formulário criptografado. 
  mercado 
  Isso me incomodou um pouco: 
   GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager     O retorno deste é um 302 movido temporariamente que aponta para um URL de download altamente complexo: 
   HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked     o gerenciador de download do Android vira ao redor e solicita que o download do local, passando o  MarketDA  cookie novamente. 
  Eu não sei se há algum perigo de segurança de como os downloads do mercado são apks. O pior que posso imaginar é que os downloads APK não criptografados abrem a possibilidade de interceptação e amp; Substituição com um pacote malicioso, mas tenho certeza que o Android tem verificações de assinatura para evitar isso.

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

Community 2020-06-10 13:47:31Z

Fico feliz que desde a minha descoberta inicial que os outros estão levando isso a sério agora. Obrigado! Eu senti que estava sozinha no deserto quando postei a pergunta / resposta inicial. Eu realmente não fiz nenhum atraso desde o post original e mantido para práticas mais seguras - mas estou feliz que os outros estejam seguindo sobre isso PP. 2011-12-19 12:20:17Z, License: CC BY-SA 3.0

Eu fico engraçado olhares de pessoas às vezes porque eu juto sobre segurança como se fosse normal. E três dias depois de postar isso, eu estraguei uma segunda-feira cibernética em um novo triunfo da Motorola. Os problemas de atendimento ao cliente atrasaram a sua chegada até a quarta-feira passada, mas descobri rapidamente que tem grandes questões com redes EAP garantidas. Minha faculdade usa o EAP. Então estou feliz por ter olhado para isso. Mais pode estar chegando, pois ainda não testei correntes. ;) dgw 2011-12-20 10:10:25Z, License: CC BY-SA 3.0

Eu só quero encorajar você - soa como uma boa pessoa para se importar o suficiente sobre segurança PP. 2011-12-22 14:25:45Z, License: CC BY-SA 3.0

I'm glad that since my initial discovery that others are taking this seriously now. Thank you! I felt I was alone in the wilderness when I posted the initial question/response. I've not actually done any retesting since the original post and kept to more secure practices - but I'm glad that others are following up on this PP. 2011-12-19 12:20:17Z, License: CC BY-SA 3.0

I get funny looks from people sometimes because I spout off about security like it's normal. And three days after posting this, I snapped up a Cyber Monday deal on a new Motorola Triumph. Customer service issues delayed its arrival until last Wednesday, but I quickly discovered that it has major issues with EAP-secured networks. My college uses EAP. So I'm glad I looked into this. More may be coming, as I haven't yet tested Currents. ;) dgw 2011-12-20 10:10:25Z, License: CC BY-SA 3.0

I only want to encourage you - sound like a good person to care enough about security PP. 2011-12-22 14:25:45Z, License: CC BY-SA 3.0

Clique aqui para obter mais respostas do O que o Android Sync'd Data é criptografado?

Perguntas relacionadas

☆6 Por que novas fotos demoram tanto para aparecer na galeria? ( Why do new photos take so long to show up in the gallery )

Se eu tirar algumas fotos e, em seguida, vá para o aplicativo da galeria, essas fotos nem sempre aparecem imediatamente. Eu tentei fazer com que a galeria atu...

☆5 Se eu enrolar o dispositivo, posso atualizar para Froyo sem esperar pelo lançamento do operador? ( If i root the device can i upgrade to froyo without waiting for the operators r )

Eu tenho um Samsung Galaxy S e estou atualmente esperando indefinidamente para o operador puxar o dedo para fora e liberar seu bloated edição de Froyo ....

☆3 Sync Exchange 2010 Notes, tarefas e lembretes ( Sync exchange 2010 notes tasks and reminders )

Meu telefone HTC Incredible S executa o Android 2.2 e tem a capacidade de sincronizar e-mail, calendário e contatos com nosso servidor Exchange 2010 no trabal...

☆7 Existe uma maneira de exibir áreas de descanso interestaduais na navegação do Google Maps? ( Is there a way to display interstate rest areas on google maps navigation )

Eu tive vários exemplos em que esta informação teria sido útil ao navegar com droid de moto, mas não consegui descobrir uma maneira de chegar às áreas de desc...

☆9 É possível mesclar contatos de diferentes fontes e enviá-los para o Gmail? ( Is it possible to merge contacts from different sources and upload them to gmail )

Eu gostaria de mesclar contatos de diferentes fontes - i.e., importados contatos do telefone, do cartão SIM e da minha conta do Gmail - e upload do contato fi...

☆4 Atualizando o desejo irremerado de Eclair para Froyo ( Upgrading unrevoked desire from eclair to froyo )

Atualmente estou executando meu desejo HTC em 2.1 (O2 marcado do Reino Unido, se fizer a diferença) que tenha sido enraizado via não irradiado . Acabei de se...

☆4 Gerenciar cookies específicos no navegador? ( Manage specific cookies in browser )

Eu gostaria de gerenciar cookies no navegador Android além de apenas "Limpar dados de cookie". O que eu quero fazer, idealmente, é a capacidade de excluir c...

☆0 Como posso contar qual versão do Voodoo instalar? ( How can i tell which version of voodoo to install )

Eu quero instalar o Voodoo Lagfix no meu telefone, e vejo que há um número de kernels para Froyo em o site de download : stock+Voodoo-Froyo-GT-I9000-XWJS3...

☆5 Desempenho do Android 2.2 vs. Versões anteriores ( Performance of android 2 2 vs earlier versions )

Uma razão pela qual eu não mudei para o Android no passado é que ele parecia lento quando tentei telefones que executá-lo. Eu vejo que o Google afirma melhor...

☆59 Quando meu telefone receberá a atualização do Android 2.2 (Froyo)? ( When will my phone get the android 2 2 update froyo )

Android 2.2 (Froyo, curto para "iogurte congelado") foi lançado durante o verão de 2010, no entanto, nem todos os dispositivos que receberão essa atualização ...

☆0 É possível instalar / atualizar aplicativos da Google Store via PC? ( Is it possible to install update apps from google store via pc )

Alguns meses atrás, fui forçado a desinstalar alguns aplicativos para atualizar outros. Recentemente, perdi a capacidade de receber notificações por e-mail vi...

☆8 Por que minhas mensagens de texto android (SMS) levam minutos para enviar? ( Why do my android text messages sms take minutes to send )

Eu comprei recentemente meu primeiro telefone Android, HTC Desire Z com Android 2.2 (Froyo). Eu importei todos os meus antigos Nokia E71 SMSs usando o ATHG2...

☆6 Como posso fazer barras de rolagem sempre visíveis? ( How can i make scroll bars always visible )

Android esconde barras de rolagem, a menos que a janela esteja sendo enrolada ativamente. Isso torna difícil dizer se uma janela pode ser rolada sem realmente...

☆2 Onde copiar papéis de parede? ( Where to copy wallpapers )

Eu baixei alguns papéis de parede para o meu telefone usando o PC. Agora, em qual pasta do meu telefone Android devo armazená-los para ser visível na Wallpape...

☆20 O que é o modo de segurança? ( What is safe mode )

Meu "desejo" USC trancado no outro dia. Eu tenho o Android 2.2 instalado. Apenas continuou reiniciando para a tela inicial repetidas vezes e outra vez. Sendo ...

Perguntas relacionadas

☆6 Por que novas fotos demoram tanto para aparecer na galeria?

☆5 Se eu enrolar o dispositivo, posso atualizar para Froyo sem esperar pelo lançamento do operador?

☆3 Sync Exchange 2010 Notes, tarefas e lembretes

☆7 Existe uma maneira de exibir áreas de descanso interestaduais na navegação do Google Maps?

☆9 É possível mesclar contatos de diferentes fontes e enviá-los para o Gmail?

☆4 Atualizando o desejo irremerado de Eclair para Froyo

☆4 Gerenciar cookies específicos no navegador?

☆0 Como posso contar qual versão do Voodoo instalar?

☆5 Desempenho do Android 2.2 vs. Versões anteriores

☆59 Quando meu telefone receberá a atualização do Android 2.2 (Froyo)?

☆0 É possível instalar / atualizar aplicativos da Google Store via PC?

☆8 Por que minhas mensagens de texto android (SMS) levam minutos para enviar?

☆6 Como posso fazer barras de rolagem sempre visíveis?

☆2 Onde copiar papéis de parede?

☆20 O que é o modo de segurança?