Dữ liệu đồng bộ hóa Android nào được mã hóa?

24

Với việc phát hành trình cắm Firesheep cho firefox , việc duyệt trang web trên các mạng Wi-Fi mở sẽ bị người nghe bên thứ 3 chiếm quyền điều khiển.

Android cung cấp tùy chọn tự động đồng bộ hóa thuận tiện. Tuy nhiên, tôi sợ rằng dữ liệu của mình có thể được tự động đồng bộ hóa trong khi tôi được kết nối với mạng Wi-Fi mở khi ở quán cà phê hoặc trung tâm mua sắm địa phương.

Là tất cả dữ liệu Android tự động đồng bộ hóa được mã hóa bằng SSL hoặc cơ chế mã hóa tương tự? Có bất kỳ dữ liệu tự động đồng bộ hóa nào không được mã hóa và truyền đi rõ ràng cho tất cả mọi người lắng nghe không?

Cập nhật : HOÀN TOÀN KHÔNG ĐẢM BẢO !!!! Xem bên dưới!!!!

2.2-froyo  sync  security  encryption  privacy 
PP.
nguồn
Tạp chí Heise của Đức có một bài viết tuyệt vời về câu hỏi đó. Nó chỉ bằng tiếng Đức, nhưng bạn có thể sử dụng Dịch vụ dịch thuật. liên kết: heise
NES
Cuối cùng, có vẻ như Google sẽ chăm sóc dữ liệu người dùng của mình: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

Câu trả lời:

13

Lưu ý: trả lời câu hỏi của riêng tôi như không ai biết.

Tôi đã chụp gói tin sau khi chọn Menu -> Tài khoản & Đồng bộ hóa -> Tự động đồng bộ hóa (cũng có thể truy cập thông qua tiện ích "Điều khiển nguồn"). Tôi đã khám phá ra điều gì?

Điều kinh hoàng của tôi (yêu cầu http từ điện thoại hiển thị bên dưới):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip


GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Danh bạlịch của tôi đang được truyền đi không được mã hóa ! Hiện tại tôi không đồng bộ hóa gmail vì vậy tôi cũng không thể nói nếu điều đó không được mã hóa.

Ngoài ra, ứng dụng trên thị trường chứng khoán (phải là một dịch vụ vì tôi không có tiện ích được hiển thị hoặc ứng dụng đang hoạt động):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Yêu cầu hoàn toàn không được mã hóa cho báo giá cổ phiếu: chỉ cần nghĩ rằng, bạn có thể ngồi ở Starbucks trong trung tâm tài chính của thành phố của bạn và xem xét những trích dẫn nào quan trọng đối với tất cả người dùng điện thoại thông minh xung quanh bạn ..

Các mục khác không được mã hóa:

  • http yêu cầu htc.accuweather.com
  • yêu cầu thời giantime-nw.nist.gov:13 (thậm chí không sử dụng NTP)

Về dữ liệu duy nhất được mã hóa trên điện thoại của tôi là các tài khoản thư tôi thiết lập với ứng dụng K-9 (vì tất cả các tài khoản thư của tôi đều sử dụng SSL - và may mắn thay, các tài khoản gmail, theo mặc định, SSL và yahoo! Mail hỗ trợ sử dụng imap SSL cũng vậy). Nhưng dường như không có dữ liệu tự động đồng bộ hóa nào từ điện thoại ngoài hộp được mã hóa.

Đây là trên HTC Desire Z với Froyo 2.2 được cài đặt. Bài học: không sử dụng điện thoại trên mạng không dây mở mà không có đường hầm được mã hóa VPN !!!

Lưu ý, chụp gói được thực hiện bằng cách sử dụng tshark trên giao diện ppp0 trên nút ảo chạy Debian được kết nối với điện thoại Android thông qua OpenSwan (IPSEC) xl2tpd (L2TP).

PP.
nguồn
1
Điều đó thật đáng lo ngại. Tôi không thể thấy bất kỳ cookie nào quay trở lại và chuyển tiếp ở đó, chúng có được gửi rõ ràng không?
GAThrawn
Các auth=chuỗi chứa những gì dường như là tương tự như một cookie, tôi đã xóa nó trước khi gửi bài vào đây để an ninh, tuy nhiên.
PP.
2
Đây có phải vẫn là một vấn đề hiện tại trên Android 2.3.1?
meinzlein
Tôi tin rằng bạn có thể thiết lập Android 4 để luôn sử dụng kết nối VPN.
trực giác
4

Kết quả thu được trên LG Optimus V (VM670), Android 2.2.1, chứng khoán, đã root, được mua vào tháng 3 năm 2011.

Cho đến ngày hôm nay, các yêu cầu không được mã hóa duy nhất tôi có thể tìm thấy trong một pcap được thực hiện trong quá trình đồng bộ lại hoàn chỉnh là:

Album Web Picasa

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Đó là nó.

Picasa là dịch vụ duy nhất tôi có thể tìm thấy được đồng bộ hóa không được mã hóa. Facebook đã yêu cầu một vài hình ảnh hồ sơ (nhưng không vượt qua bất kỳ thông tin tài khoản nào); Quảng cáo yêu cầu Skype; và TooYoou lấy một hình ảnh biểu ngữ mới. Không ai trong số đó liên quan đến đồng bộ, thực sự.

Vì vậy, có vẻ như bảo mật đồng bộ hóa của Google đã được thắt chặt khá nhiều. Tắt đồng bộ hóa Album Web Picasa và tất cả dữ liệu Google của bạn sẽ được đồng bộ hóa ở dạng được mã hóa.

Thị trường

Điều này làm phiền tôi một chút:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Sự trở lại của điều này là 302 Được di chuyển Tạm thời trỏ đến một URL tải xuống rất phức tạp:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Trình quản lý tải xuống của Android rẽ phải và yêu cầu vị trí tải xuống, chuyển lại MarketDAcookie.

Tôi không biết có bất kỳ mối nguy hiểm bảo mật nào từ cách tải xuống APK của Thị trường không. Điều tồi tệ nhất tôi có thể tưởng tượng là việc tải xuống APK không được mã hóa mở ra khả năng chặn và thay thế bằng gói độc hại, nhưng tôi chắc chắn Android có kiểm tra chữ ký để ngăn chặn điều đó.

dgw
nguồn
Tôi rất vui vì từ khi phát hiện ban đầu của tôi rằng những người khác đang thực hiện điều này một cách nghiêm túc. Cảm ơn bạn! Tôi cảm thấy mình cô đơn trong hoang dã khi đăng câu hỏi / câu trả lời ban đầu. Tôi đã không thực sự kiểm tra lại từ bài đăng gốc và tuân thủ các thực tiễn an toàn hơn - nhưng tôi rất vui vì những người khác đang theo dõi điều này.
PP.
1
Đôi khi tôi nhận được những cái nhìn hài hước từ mọi người vì tôi nói về bảo mật như bình thường. Và ba ngày sau khi đăng bài này, tôi đã chộp lấy một thỏa thuận Thứ Hai Điện Tử trên Motorola Triumph mới. Các sự cố dịch vụ khách hàng đã bị trì hoãn cho đến thứ Tư tuần trước, nhưng tôi nhanh chóng phát hiện ra rằng nó có vấn đề lớn với các mạng được bảo mật EAP. Trường đại học của tôi sử dụng EAP. Vì vậy, tôi rất vui vì tôi đã xem xét điều này. Nhiều điều có thể sẽ đến, vì tôi chưa thử nghiệm Dòng điện. ;)
dgw
Tôi chỉ muốn khuyến khích bạn - nghe có vẻ là một người tốt để quan tâm đủ đến an ninh.
PP.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.