Які дані для синхронізації Android шифруються?


24

З випуском плагін для пожежогасіння для Firefox він став тривіальним для перегляду веб-сайтів у відкритих мережах Wi-Fi, які повинні бути викрадені сторонніми слухачами.

Android пропонує зручний варіант автоматичної синхронізації. Однак я побоююся, що мої дані можуть автоматично синхронізуватися, коли я підключений до відкритої мережі Wi-Fi, перебуваючи в місцевій кав’ярні чи торговому центрі.

Чи всі автоматичні синхронізації даних Android зашифровані за допомогою SSL або подібного механізму шифрування? Чи будь-які дані автоматичної синхронізації не шифруються та передаються чітко для всіх, щоб слухати їх?

Оновлення : ПОПЕРЕДЖЕННЯ БЕЗПЕКА !!!! Дивись нижче!!!!


Німецький журнал Heise має чудову статтю з цього питання. Це просто німецькою мовою, але ви можете скористатися послугою перекладу. посилання: heise
NES

Здається, нарешті, Google подбає про дані своїх користувачів: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

Відповіді:


13

Примітка: відповісти на моє власне питання так, як ніхто не знав.

Я зробив захоплення пакетів після вибору меню -> Облікові записи та синхронізація -> Автосинхронізація (також доступний через віджет "Контроль живлення"). Що я відкрив?

На мій жах (http-запити з телефону, показані нижче):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

і

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Мої контакти та календар передаються незашифрованими ! В даний час я не синхронізую gmail, тому я не можу сказати, чи це також незашифровано.

Також додаток на фондовому ринку (який повинен бути послугою, оскільки у мене відсутній віджет або активна програма):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Повністю незашифрований запит на біржові котирування: подумайте, ви могли б сісти в Starbucks у фінансовому центрі свого міста і пакетно обнюхати, які котирування були важливими для всіх користувачів смартфонів навколо вас ..

Інші елементи, які не були зашифровані:

  • http запит на htc.accuweather.com
  • час запит time-nw.nist.gov:13(навіть не використовувати NTP)

Про єдині дані, що шифруються на моєму телефоні, - це поштові облікові записи, які я створив за допомогою програми K-9 (оскільки всі мої поштові облікові записи використовують SSL - і, на щастя, облікові записи за замовчуванням є SSL; а Yahoo! Mail підтримує Imap, використовуючи SSL теж). Але здається, що жоден із даних, які автоматично синхронізуються із телефону, який не використовується, не зашифрований.

Це на HTC Desire Z із встановленим Froyo 2.2. Урок: не використовуйте телефон у відкритій бездротовій мережі без шифрованого VPN тунелювання !!!

Зауважте, захоплення пакетів зроблено за допомогою інтерфейсу tshark на ppp0 на віртуальному вузлі під керуванням Debian, підключеному до телефону Android через OpenSwan (IPSEC) xl2tpd (L2TP).


1
Це хвилює. Я не бачу, щоб будь-яке печиво переходило туди назад і назад, чи їх також надсилають в поле?
GAThrawn

auth=Рядок містила то , здавалося, схожі на печиво, я видалив його , перш ніж відправляти сюди для безпеки, однако.
ПП.

2
Це все ще актуальна проблема на Android 2.3.1?
meinzlein

Я вважаю, ви можете налаштувати Android 4, щоб завжди використовувати VPN-з'єднання.
інтуїтивно

4

Результати, зняті на LG Optimus V (VM670), Android 2.2.1, запас, укорінений, придбаний у березні 2011 року.

На сьогодні єдиними незашифрованими запитами, які я міг знайти в pcap, знятих під час повної ресинхронізації, були:

Веб-альбоми Picasa

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Це воно.

Picasa була єдиною службою, яку я міг знайти синхронізовану синхронізацію. Facebook попросив пару зображень профілю (але не передав жодної інформації облікового запису); Оголошення, запитувані через Skype; і TooYoou схопив нове зображення банера. Жоден із них не стосується синхронізації.

Так виглядає, що безпека синхронізації Google була досить жорсткою. Вимкніть синхронізацію веб-альбомів Picasa і всі ваші дані Google повинні синхронізуватися у зашифрованому вигляді.

Ринок

Це мене трохи непокоїло:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Повернення цього є тимчасово переміщеним 302, який вказує на дуже складну URL-адресу для завантаження:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Менеджер завантажень Android обертається прямо і запитує місце, яке завантажують, передаючи його MarketDA файл cookie знову.

Я не знаю, чи є небезпека для безпеки від того, як Market завантажує APK. Найгірше, що я можу собі уявити, це те, що незашифровані завантаження APK відкривають можливість перехоплення та заміни зловмисним пакетом, але я впевнений, що Android має перевірку підписів, щоб запобігти цьому.


Я радий, що з мого початкового відкриття, що зараз інші ставляться до цього серйозно. Дякую! Я відчув, що був один в пустелі, коли розмістив початкове питання / відповідь. Насправді я не робив жодного повторного тестування з початкової публікації та тримався на більш безпечних практиках - але я радий, що інші дотримуються цього питання.
ПП.

1
Іноді я отримую смішні погляди від людей, тому що я вибиваюся на безпеку, як це нормально. І через три дні після публікації цього повідомлення я підписав угоду про Кібер-понеділок про нову Motorola Triumph. Проблеми з обслуговування клієнтів затягували свій прихід до минулої середи, але я швидко виявив, що у нього є основні проблеми із захищеними EAP мережами. У моєму коледжі використовується EAP. Тож я радий, що я заглянув у це. Можливо, ще більше, оскільки я ще не перевіряв струми. ;)
dgw

Хочу лише заохотити вас - звучати як хороша людина, що піклується про безпеку.
ПП.
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.