Какие данные синхронизации Android зашифрованы?

24

С выпуском плагина firesheep для firefox стало тривиально, что просмотр веб-сайтов в открытых сетях Wi-Fi будет угнан сторонними слушателями.

Android предлагает удобный вариант автосинхронизации. Однако я боюсь, что мои данные могут быть автоматически синхронизированы, когда я подключен к открытой сети Wi-Fi, находясь в местном кафе или торговом центре.

Все ли данные автосинхронизации Android зашифрованы с использованием SSL или аналогичного механизма шифрования? Являются ли какие-либо данные автосинхронизации незашифрованными и передаются в открытом виде для всеобщего прослушивания?

Обновление : ПОЛНОСТЬЮ БЕЗОПАСНЫЙ !!!! Увидеть ниже!!!!

PP.
источник
В журнале German Heise есть отличная статья по этому вопросу. Это только на немецком языке, но вы можете воспользоваться услугой перевода. ссылка: heise
NES
Похоже, наконец, Google позаботится о данных своих пользователей: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Эдуардо,

Ответы:

13

Примечание: отвечаю на мой собственный вопрос, так как никто не знал.

Я сделал захват пакета после выбора Меню -> Аккаунты и синхронизация -> Автосинхронизация (также доступно через виджет «Управление питанием»). Что я обнаружил?

К моему ужасу (http запросы с телефона отображаются ниже):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

а также

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Мои контакты и календарь передаются в незашифрованном виде ! В настоящее время я не синхронизирую Gmail, поэтому я не могу сказать, является ли это незашифрованным.

Также приложение фондового рынка (которое должно быть сервисом, потому что у меня не отображается виджет или приложение активно):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Полностью незашифрованный запрос котировок акций: просто подумайте, вы могли бы сидеть в Starbucks в финансовом центре вашего города и анализировать, какие котировки важны для всех пользователей смартфонов вокруг вас ...

Другие элементы, которые не были зашифрованы:

  • http запрос к htc.accuweather.com
  • запрос времениtime-nw.nist.gov:13 (даже не использует NTP)

Про только данные, зашифрованные на моем телефоне есть почта счета настроить с приложением K-9 (потому что вся моя почта счетов использование SSL - и к счастью , Gmail счета, по умолчанию, SSL и ! Yahoo Mail поддерживает IMAP с помощью SSL тоже). Но кажется, что ни одна из данных автосинхронизации с телефона из коробки не зашифрована.

Это на HTC Desire Z с установленным Froyo 2.2. Урок: не используйте телефон в открытой беспроводной сети без VPN-шифрования туннелирования !!!

Обратите внимание, что захват пакетов осуществляется с помощью tshark на интерфейсе ppp0 на виртуальном узле, на котором запущен Debian, подключенный к телефону Android через OpenSwan (IPSEC) xl2tpd (L2TP).

PP.
источник
1
Это беспокоит. Я не вижу никаких файлов cookie, передаваемых туда и обратно, они тоже отправляются в открытом виде?
GAThrawn
auth=Строка содержала то , казалось, похожи на печенье, я удалил его , прежде чем отправлять сюда для безопасности, однако.
пп.
2
Это все еще актуальная проблема на Android 2.3.1?
meinzlein
Я считаю, что вы можете настроить Android 4, чтобы всегда использовать VPN-соединение.
интуитивно
4

Результаты сняты на LG Optimus V (VM670), Android 2.2.1, сток, рутирован, куплен в марте 2011 года.

На сегодняшний день единственными незашифрованными запросами, которые я мог найти в pcap во время полной повторной синхронизации, были:

Веб-альбомы Picasa

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Вот и все.

Picasa была единственной службой, которую я мог найти, будучи синхронизированной незашифрованной. Facebook запросил пару изображений профиля (но не передал информацию об учетной записи); Skype запросил рекламу; и вы захватили новое изображение баннера. На самом деле ни один из них не имеет отношения к синхронизации.

Похоже, что безопасность синхронизации Google была немного ужесточена. Отключите синхронизацию Веб-альбомов Picasa, и все ваши данные Google должны быть синхронизированы в зашифрованном виде.

рынок

Это немного беспокоило меня:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Возвращаемое значение - 302 Moved Temporary, которое указывает на очень сложный URL-адрес для загрузки:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Менеджер загрузок Android поворачивается направо и запрашивает местоположение загрузки, MarketDAснова передавая файл cookie.

Я не знаю, есть ли какая-либо угроза безопасности от того, как Market скачивает APK. Худшее, что я могу себе представить, это то, что незашифрованные загрузки APK открывают возможность перехвата и замены вредоносным пакетом, но я уверен, что Android имеет проверку подписи, чтобы предотвратить это.

DGW
источник
Я рад, что с момента моего первого открытия, что другие сейчас воспринимают это всерьез. Спасибо! Я чувствовал, что был один в пустыне, когда я отправил первый вопрос / ответ. На самом деле я не проводил никаких повторных тестов с момента публикации и придерживался более безопасных методов, но я рад, что другие следят за этим.
пп.
1
Иногда я получаю смешные взгляды от людей, потому что я говорю о безопасности, как будто это нормально. И через три дня после публикации я подписал контракт с Cyber ​​Monday на новый Motorola Triumph. Проблемы обслуживания клиентов отложили его появление до прошлой среды, но я быстро обнаружил, что у него есть серьезные проблемы с сетями, защищенными EAP. Мой колледж использует EAP. Так что я рад, что посмотрел на это. Возможно, еще будет, так как я еще не проверял токи. ;)
dgw
Я только хочу призвать вас - звучит как хороший человек, который достаточно заботится о безопасности.
пп.