¿Qué datos de Sincronización Android se cifran? -- 2.2-froyo campo con sync campo con security campo con encryption campo con privacy camp android Relacionados El problema

What Android sync'd data is encrypted?


24
vote

problema

Español

Con la liberación de la complemento de Firesheep para Firefox se ha convertido en trivial para la navegación en el sitio web en redes de Wi-Fi abiertas Para ser secuestrado por los oyentes de terceros.

Android ofrece la opción conveniente de sincronización automática. Sin embargo, temo que mis datos puedan ser sincronizados automáticamente mientras estoy conectado a una red Wi-Fi abierta mientras esté en la cafetería local o en el centro comercial.

¿Son todos los datos de Sincronización automáticos de Android encriptados con SSL o un mecanismo de encriptación similar? ¿Hay datos de sincronización automática sin cifrar y transmitirlos de forma clara para todos para escuchar?

Actualizar completamente inseguro !!!! ¡Vea a continuación !!!!

Original en ingles

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Lista de respuestas

13
 
vote
vote
La mejor respuesta
 

Nota: respondiendo a mi propia pregunta como nadie lo sabía.

Hice una captura de paquetes después de seleccionar el menú, y GT; Cuentas y amplificador; Sincronización - & gt; Sincronización automática (también accesible a través del widget "Control de potencia"). ¿Qué descubrí?

a mi horror (solicitudes HTTP desde el teléfono se muestran a continuación):

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip   

y

  GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip   

MIS Contactos y Calendario Se están transmitiendo sin cifrypted ! Actualmente no sincroniza a Gmail, así que no podía decir si eso tampoco está cifrado.

También la aplicación del mercado de valores (que debe ser un servicio porque no tengo el widget que se muestra o la aplicación activa):

  POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>   

Completamente Solicitud no cifrada de cotizaciones de acciones: solo piense, podría sentarse en Starbucks en el centro financiero de su ciudad y en paquete: olfatear qué citas fueron importantes para todos los usuarios de teléfonos inteligentes.

Otros elementos que no estaban encriptados:

  • solicitud http a htc.accuweather.com
  • tiempo solicitado a time-nw.nist.gov:13 (ni siquiera usa NTP)

Acerca de los datos solo que se cifra en mi teléfono son las cuentas de correo que configuré con la aplicación K-9 (porque todas las cuentas de mi correo utilizan SSL, y afortunadamente, las cuentas de Gmail están, de forma predeterminada. , SSL; y Yahoo! Mail Supports IMAP usando SSL también). Pero parece que no se cifra ninguno de los datos de sincronización automática del teléfono fuera de la caja.

Esto está en una HTC Desire Z con Froyo 2.2 instalado. LECCIÓN: ¡NO UTILICE TELÉFONO EN LA RED INALÁMBRICA ABIERTA SIN VPN TUNNELING CRIPTED !!!

Nota, captura de paquetes tomada utilizando TSHARK en la interfaz PPP0 en el nodo virtual que ejecuta Debian conectado al teléfono Android a través de OpenSwan (IPSEC) XL2TPD (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Resultados capturados en un LG Optimus V (VM670), Android 2.2.1, Stock, Rooted, comprado en marzo de 2011.

A partir de hoy, las únicas solicitudes sin cifrar que podría encontrar en un PCAP tomadas durante un ResiC completo fueron:

Álbumes web de Picasa

  ABCDEFGHIJKLMNABCDEFGHIJKLMN5   

Eso es.

Picasa fue el único servicio que pude encontrar sincronizado sin cifrar. Facebook solicitó un par de imágenes de perfil (pero no pasó ninguna información de la cuenta); Skype solicitó anuncios; Y Tooyooou agarró una nueva imagen de banner. Ninguno de los relacionados con sincronización, de verdad.

Entonces parece que la seguridad de sincronización de Google se ha apretado bastante. Apagado Sincronización de los álbumes web de Picasa y todos sus datos de Google deben sincronizarse en forma cifrada.

Mercado

Esto me molestó un poco:

  GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager   

La devolución de esto es un 302 movido temporalmente que apunta a una URL de descarga altamente compleja:

  HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked   

El administrador de descargas de Android gira a la derecha y solicita la siguiente ubicación, pasando el MarketDA cookie otra vez.

No sé si hay algún peligro de seguridad de cómo las descargas del mercado aplass. Lo peor que puedo imaginar es que las descargas de APK sin cifrar abren la posibilidad de intercepción y amplificador; Reemplazo con un paquete malicioso, pero estoy seguro de que Android tiene cheques de firma para prevenir eso.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Relacionados problema

5  Rendimiento de las versiones anteriores de Android 2.2 vs  ( Performance of android 2 2 vs earlier versions ) 
Una de las razones por las que no he cambiado a Android en el pasado es que parecía lento cuando he intentado teléfonos que lo ejecutan. Veo que Google afirma...

59  ¿Cuándo obtendrá mi teléfono la actualización de Android 2.2 (Froyo)?  ( When will my phone get the android 2 2 update froyo ) 
Android 2.2 (Froyo, Short para "Yogurt Frozen") fue lanzado durante el verano de 2010, sin embargo, no todos los dispositivos que obtendrán esta actualización...

0  ¿Es posible instalar / actualizar aplicaciones de Google Store a través de PC?  ( Is it possible to install update apps from google store via pc ) 
Hace unos meses me vieron obligados a desinstalar algunas aplicaciones para actualizar otras. Recientemente, he perdido la capacidad de recibir notificaciones...

6  ¿Cómo puedo hacer visibles las barras de desplazamiento siempre?  ( How can i make scroll bars always visible ) 
Android oculta barras de desplazamiento a menos que la ventana esté siendo desplazada activamente. Esto hace que sea difícil decir si se puede desplazarse una...

7  ¿Hay alguna manera de mostrar áreas de descanso interestatal en la navegación de Google Maps?  ( Is there a way to display interstate rest areas on google maps navigation ) 
He tenido varias instancias en las que esta información hubiera sido útil al navegar con Droid W / Moto, pero no he podido descubrir una manera de llegar a la...

0  ¿Cómo puedo decir qué versión de Voodoo instalará?  ( How can i tell which version of voodoo to install ) 
Quiero instalar Voodoo Lagfix en mi teléfono, y veo que hay una serie de núcleos para Froyo en El sitio de descarga : stock+Voodoo-Froyo-GT-I9000-XWJS3.ta...

6  ¿Por qué las nuevas fotos tardan tanto en aparecer en la galería?  ( Why do new photos take so long to show up in the gallery ) 
Si tomo algunas fotos, y luego vaya a la aplicación Gallery, esas fotos no siempre aparecen de inmediato. He intentado hacer que la galería se actualice, pero...

4  Actualizar el deseo no despocado de Eclair to Froyo  ( Upgrading unrevoked desire from eclair to froyo ) 
Actualmente estoy ejecutando mi HTC Desire en 2.1 (O2 de marca del Reino Unido, si hace una diferencia) que se ha arraigado a través de UNREVOKED . Ahora se ...

8  ¿Por qué mis mensajes de texto Android (SMS) tardan minutos en enviar?  ( Why do my android text messages sms take minutes to send ) 
Recientemente compré mi primer teléfono Android, HTC Desire Z con Android 2.2 (Froyo). Importé todos mis viejos SMS de Nokia E71 utilizando la aplicación AT...

5  Si rooteo el dispositivo, ¿puedo actualizarme a Froyo sin esperar la liberación del operador?  ( If i root the device can i upgrade to froyo without waiting for the operators r ) 
Tengo un Samsung Galaxy S y estoy esperando actualmente indefinidamente para el operador en saca su dedo y libere su hinchado Edición de Froyo . Si ro...

20  ¿Qué es el modo seguro?  ( What is safe mode ) 
Mi USC "deseo" encerrado el otro día. Tengo Android 2.2 instalado. Simplemente siguió reiniciándose a la pantalla de salpicaduras una y otra vez. Al ser un vi...

3  Sync Exchange 2010 Notas, tareas y recordatorios  ( Sync exchange 2010 notes tasks and reminders ) 
Mi teléfono HTC Incredible Sure Android 2.2, y tiene la capacidad de sincronizar el correo electrónico, el calendario y los contactos con nuestro servidor de ...

9  ¿Es posible fusionar contactos de diferentes fuentes y subirlas a Gmail?  ( Is it possible to merge contacts from different sources and upload them to gmail ) 
Me gustaría fusionar contactos de diferentes fuentes: I.E., importó contactos desde el teléfono, desde la tarjeta SIM y desde mi cuenta de Gmail, y cargue el ...

2  ¿Dónde copiar fondos de pantalla?  ( Where to copy wallpapers ) 
Descargué algunos fondos de pantalla para mi teléfono usando la PC. Ahora, ¿en qué carpeta de mi teléfono Android debo almacenarlos para ser visibles en la ga...

4  ¿Gestionar las cookies específicas en el navegador?  ( Manage specific cookies in browser ) 
Me gustaría administrar cookies en el navegador Android más allá de "Datos de cookies claros". Lo que quiero hacer, idealmente, tiene la capacidad de elimin...




© 2021 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos