¿Qué datos de Sincronización Android se cifran? -- 2.2-froyo campo con sync campo con security campo con encryption campo con privacy camp android Relacionados El problema

What Android sync'd data is encrypted?


24
vote

problema

Español

Con la liberación de la complemento de Firesheep para Firefox se ha convertido en trivial para la navegación en el sitio web en redes de Wi-Fi abiertas Para ser secuestrado por los oyentes de terceros.

Android ofrece la opción conveniente de sincronización automática. Sin embargo, temo que mis datos puedan ser sincronizados automáticamente mientras estoy conectado a una red Wi-Fi abierta mientras esté en la cafetería local o en el centro comercial.

¿Son todos los datos de Sincronización automáticos de Android encriptados con SSL o un mecanismo de encriptación similar? ¿Hay datos de sincronización automática sin cifrar y transmitirlos de forma clara para todos para escuchar?

Actualizar completamente inseguro !!!! ¡Vea a continuación !!!!

Original en ingles

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Lista de respuestas

13
 
vote
vote
La mejor respuesta
 

Nota: respondiendo a mi propia pregunta como nadie lo sabía.

Hice una captura de paquetes después de seleccionar el menú, y GT; Cuentas y amplificador; Sincronización - & gt; Sincronización automática (también accesible a través del widget "Control de potencia"). ¿Qué descubrí?

a mi horror (solicitudes HTTP desde el teléfono se muestran a continuación):

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip   

y

  GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip   

MIS Contactos y Calendario Se están transmitiendo sin cifrypted ! Actualmente no sincroniza a Gmail, así que no podía decir si eso tampoco está cifrado.

También la aplicación del mercado de valores (que debe ser un servicio porque no tengo el widget que se muestra o la aplicación activa):

  POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>   

Completamente Solicitud no cifrada de cotizaciones de acciones: solo piense, podría sentarse en Starbucks en el centro financiero de su ciudad y en paquete: olfatear qué citas fueron importantes para todos los usuarios de teléfonos inteligentes.

Otros elementos que no estaban encriptados:

  • solicitud http a htc.accuweather.com
  • tiempo solicitado a time-nw.nist.gov:13 (ni siquiera usa NTP)

Acerca de los datos solo que se cifra en mi teléfono son las cuentas de correo que configuré con la aplicación K-9 (porque todas las cuentas de mi correo utilizan SSL, y afortunadamente, las cuentas de Gmail están, de forma predeterminada. , SSL; y Yahoo! Mail Supports IMAP usando SSL también). Pero parece que no se cifra ninguno de los datos de sincronización automática del teléfono fuera de la caja.

Esto está en una HTC Desire Z con Froyo 2.2 instalado. LECCIÓN: ¡NO UTILICE TELÉFONO EN LA RED INALÁMBRICA ABIERTA SIN VPN TUNNELING CRIPTED !!!

Nota, captura de paquetes tomada utilizando TSHARK en la interfaz PPP0 en el nodo virtual que ejecuta Debian conectado al teléfono Android a través de OpenSwan (IPSEC) XL2TPD (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Resultados capturados en un LG Optimus V (VM670), Android 2.2.1, Stock, Rooted, comprado en marzo de 2011.

A partir de hoy, las únicas solicitudes sin cifrar que podría encontrar en un PCAP tomadas durante un ResiC completo fueron:

Álbumes web de Picasa

  ABCDEFGHIJKLMNABCDEFGHIJKLMN5   

Eso es.

Picasa fue el único servicio que pude encontrar sincronizado sin cifrar. Facebook solicitó un par de imágenes de perfil (pero no pasó ninguna información de la cuenta); Skype solicitó anuncios; Y Tooyooou agarró una nueva imagen de banner. Ninguno de los relacionados con sincronización, de verdad.

Entonces parece que la seguridad de sincronización de Google se ha apretado bastante. Apagado Sincronización de los álbumes web de Picasa y todos sus datos de Google deben sincronizarse en forma cifrada.

Mercado

Esto me molestó un poco:

  GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager   

La devolución de esto es un 302 movido temporalmente que apunta a una URL de descarga altamente compleja:

  HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked   

El administrador de descargas de Android gira a la derecha y solicita la siguiente ubicación, pasando el MarketDA cookie otra vez.

No sé si hay algún peligro de seguridad de cómo las descargas del mercado aplass. Lo peor que puedo imaginar es que las descargas de APK sin cifrar abren la posibilidad de intercepción y amplificador; Reemplazo con un paquete malicioso, pero estoy seguro de que Android tiene cheques de firma para prevenir eso.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Relacionados problema

4  Actualizar el deseo no despocado de Eclair to Froyo  ( Upgrading unrevoked desire from eclair to froyo ) 
Actualmente estoy ejecutando mi HTC Desire en 2.1 (O2 de marca del Reino Unido, si hace una diferencia) que se ha arraigado a través de UNREVOKED . Ahora se ...

2  ¿Froyo incluye el soporte hebreo completo para todos los dispositivos?  ( Does froyo include full hebrew support for all devices ) 
Estaba bajo la impresión de que Froyo incluye soporte hebreo incorporado completo para todos los modelos. Estoy buscando comprando un Samsung Galaxy S, y ll...

2  ¿Asistió a GPS a corregir los problemas de GPS de Samsung Galaxy S? [duplicar]  ( Does assisted gps fix samsung galaxy ss gps problems ) 
Esta pregunta ya tiene respuestas aquí : Cerrado 10 años . posible duplicado: ¿Froyo arreg...

3  ¿Debo volver a instalar ciertos programas después de actualizar desde Android 2.1 a Android 2.2?  ( Should i re install certain programs after upgrading from android 2 1 to android ) 
Actualizo mi teléfono Samsung Galaxy S de Android 2.1 a Android 2.2 durante el fin de semana. Hoy, por primera vez, ya que comprando el teléfono (dos meses)...

2  ¿Samsung I5500 Galaxy 5 se puede actualizar en Android 2.2 [duplicado]  ( Does samsung i5500 galaxy 5 can be upgraded into android 2 2 ) 
Esta pregunta ya tiene una respuesta aquí : cerrado hace 10 años . posible duplicado: cuán...

7  Buscando una galería ligera para reemplazar la galería de acciones [cerrado]  ( Looking for a lightweight gallery to replace the stock gallery ) 
cerrado. Esta pregunta es off-topic . Actualmente no está aceptando respuestas. ¿Quieres ...

7  Tengo que hablar en un acento americano a pesar de establecer el reconocimiento de voz al inglés Reino Unido  ( I have to talk in an american accent despite setting voice recognition to englis ) 
¿Hay una manera de evitar esto, o tal vez una aplicación de reconocimiento de voz de terceros que se lo rodea? También ejecuté algunas pruebas en un acento ...

4  ¿Puede usted en algún lugar en su teléfono Ver una lista de todas las aplicaciones y quién los hizo?  ( Can you somewhere on you phone view a list of all applications and who made them ) 
En otra pregunta, me preguntaron qué aplicación de calendario estaba ejecutando en mi teléfono Android 2.2 Samsung Galaxy S. Encontré la configuración de la...

8  ¿Cómo copio y pego texto entre aplicaciones?  ( How do i copy and paste text between applications ) 
Muy a menudo me encuentro deseando que pueda copiar el texto de un tweet que estoy leyendo (en la aplicación de Twitter) y pétalo, por ejemplo, TweetDeck para...

4  ¿Hay algún beneficio para arraigar el nuevo T-Mobile G2, y cuáles son los problemas legales? [duplicar]  ( Is there any benefit to rooting the new t mobile g2 and what are the legal issu ) 
Esta pregunta ya tiene respuestas aquí : CERRADO hace 9 años . posible duplicado: He arrai...

9  ¿Hay alguna forma de ordenar las aplicaciones alfabéticamente?  ( Is there a way of ordering the applications alphabetically ) 
¿Puedo ordenar las aplicaciones alfabéticamente o agruparlas en carpetas? ¿O tal vez hay una mejor manera de administrar con un número cada vez mayor de apl...

4  Cambios permanentes después de la inactividad  ( Permanent changes after un rooting ) 
He estado jugando con el enraizamiento y lo estoy disfrutando (porque me gusta jugar). Sin embargo, he notado que mis aplicaciones tienden a forzarme a acerca...

19  ¿Cómo puedo liberar más espacio en mi teléfono Android (2.2 Froyo)?  ( How can i free up more space on my android 2 2 froyo phone ) 
Ya he movido todas las aplicaciones que lo permiten a la tarjeta SD. Entonces, lo que realmente estoy buscando aquí hay algunos consejos como limpiar el caché...

4  ¿Una mejor manera de tomar la captura de pantalla en Galaxy S 2.2?  ( A better way to take screenshot in galaxy s 2 2 ) 
En Galaxy S con Froyo instalado, puede tomar una captura de pantalla de su teléfono sosteniendo el botón Atrás y tocando el botón de inicio. Sin embargo, esto...

5  ¿Es posible borrar los iconos 'Programas instalados' en la barra de notificación superior?  ( Is it possible to clear the program installed icons at the top notification ba ) 
Cuando realiza una actualización de un programa instalado, la barra de notificación superior muestra un ícono de 'descarga'. Cuando se descarga, muestra un ...

8  Pantalla de información "Uso de la batería" que no reporta aplicaciones  ( Battery use information screen not reporting apps ) 
Tengo un Samsung Galaxy S (versión internacional) que acabo de actualizar a Android 2.2 (Froyo) y ahora la página de uso de la batería en Configuración (Confi...

6  El botón de mi célula de SGS no funciona, ¿qué debo hacer?  ( My sgs cell headphones button doesnt work what should i do ) 
Mis auriculares con cable, los suministrados por Samsung con el botón Galaxy S, el botón no responde las llamadas, abrir un reproductor de música, jugar una p...

2  ¿Cómo puedo obtener el Froyo ROM oficial para que SGS use con Heimdall? [duplicar]  ( How can i get the official froyo rom for sgs to use with heimdall ) 
Esta pregunta ya tiene respuestas aquí : CERRADO 9 años . posible duplicado: ¿Dónde puedo ...

8  ¿Qué es lo que se pudo mover la aplicación? ¿No hay suficiente memoria "Media de error al elegir 'Mover a la tarjeta SD'?  ( What does the failed to move application not enough memory error mean when ch ) 
Cuando elija 'Configuración - Aplicaciones - Administrar aplicaciones', y un 'Mover a la tarjeta SD' i obtenga el 'Error al mover la aplicación. No hay sufici...

7  Angry Birds Seasons "Instalación sin éxito" - ¿Ayuda?  ( Angry birds seasons installation unsuccessful help ) 
He intentado varias veces instalar estaciones de aves enojadas del mercado. Cada vez, recibo una notificación que dice "Instalación sin éxito" sin nada más de...

Relacionados problema

4  Actualizar el deseo no despocado de Eclair to Froyo 
2  ¿Froyo incluye el soporte hebreo completo para todos los dispositivos? 
2  ¿Asistió a GPS a corregir los problemas de GPS de Samsung Galaxy S? [duplicar] 
3  ¿Debo volver a instalar ciertos programas después de actualizar desde Android 2.1 a Android 2.2? 
2  ¿Samsung I5500 Galaxy 5 se puede actualizar en Android 2.2 [duplicado] 
7  Buscando una galería ligera para reemplazar la galería de acciones [cerrado] 
7  Tengo que hablar en un acento americano a pesar de establecer el reconocimiento de voz al inglés Reino Unido 
4  ¿Puede usted en algún lugar en su teléfono Ver una lista de todas las aplicaciones y quién los hizo? 
8  ¿Cómo copio y pego texto entre aplicaciones? 
4  ¿Hay algún beneficio para arraigar el nuevo T-Mobile G2, y cuáles son los problemas legales? [duplicar] 
9  ¿Hay alguna forma de ordenar las aplicaciones alfabéticamente? 
4  Cambios permanentes después de la inactividad 
19  ¿Cómo puedo liberar más espacio en mi teléfono Android (2.2 Froyo)? 
4  ¿Una mejor manera de tomar la captura de pantalla en Galaxy S 2.2? 
5  ¿Es posible borrar los iconos 'Programas instalados' en la barra de notificación superior? 
8  Pantalla de información "Uso de la batería" que no reporta aplicaciones 
6  El botón de mi célula de SGS no funciona, ¿qué debo hacer? 
2  ¿Cómo puedo obtener el Froyo ROM oficial para que SGS use con Heimdall? [duplicar] 
8  ¿Qué es lo que se pudo mover la aplicación? ¿No hay suficiente memoria "Media de error al elegir 'Mover a la tarjeta SD'? 
7  Angry Birds Seasons "Instalación sin éxito" - ¿Ayuda? 



© 2021 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos


Licensed under cc by-sa 3.0 with attribution required.