С выпуском плагина firesheep для firefox стало тривиально, что просмотр веб-сайтов в открытых сетях Wi-Fi будет угнан сторонними слушателями.
Android предлагает удобный вариант автосинхронизации. Однако я боюсь, что мои данные могут быть автоматически синхронизированы, когда я подключен к открытой сети Wi-Fi, находясь в местном кафе или торговом центре.
Все ли данные автосинхронизации Android зашифрованы с использованием SSL или аналогичного механизма шифрования? Являются ли какие-либо данные автосинхронизации незашифрованными и передаются в открытом виде для всеобщего прослушивания?
Обновление : ПОЛНОСТЬЮ БЕЗОПАСНЫЙ !!!! Увидеть ниже!!!!
Ответы:
Примечание: отвечаю на мой собственный вопрос, так как никто не знал.
Я сделал захват пакета после выбора Меню -> Аккаунты и синхронизация -> Автосинхронизация (также доступно через виджет «Управление питанием»). Что я обнаружил?
К моему ужасу (http запросы с телефона отображаются ниже):
а также
Мои контакты и календарь передаются в незашифрованном виде ! В настоящее время я не синхронизирую Gmail, поэтому я не могу сказать, является ли это незашифрованным.
Также приложение фондового рынка (которое должно быть сервисом, потому что у меня не отображается виджет или приложение активно):
Полностью незашифрованный запрос котировок акций: просто подумайте, вы могли бы сидеть в Starbucks в финансовом центре вашего города и анализировать, какие котировки важны для всех пользователей смартфонов вокруг вас ...
Другие элементы, которые не были зашифрованы:
htc.accuweather.com
time-nw.nist.gov:13
(даже не использует NTP)Про только данные, зашифрованные на моем телефоне есть почта счета настроить с приложением K-9 (потому что вся моя почта счетов использование SSL - и к счастью , Gmail счета, по умолчанию, SSL и ! Yahoo Mail поддерживает IMAP с помощью SSL тоже). Но кажется, что ни одна из данных автосинхронизации с телефона из коробки не зашифрована.
Это на HTC Desire Z с установленным Froyo 2.2. Урок: не используйте телефон в открытой беспроводной сети без VPN-шифрования туннелирования !!!
Обратите внимание, что захват пакетов осуществляется с помощью tshark на интерфейсе ppp0 на виртуальном узле, на котором запущен Debian, подключенный к телефону Android через OpenSwan (IPSEC) xl2tpd (L2TP).
источник
auth=
Строка содержала то , казалось, похожи на печенье, я удалил его , прежде чем отправлять сюда для безопасности, однако.Результаты сняты на LG Optimus V (VM670), Android 2.2.1, сток, рутирован, куплен в марте 2011 года.
На сегодняшний день единственными незашифрованными запросами, которые я мог найти в pcap во время полной повторной синхронизации, были:
Веб-альбомы Picasa
Вот и все.
Picasa была единственной службой, которую я мог найти, будучи синхронизированной незашифрованной. Facebook запросил пару изображений профиля (но не передал информацию об учетной записи); Skype запросил рекламу; и вы захватили новое изображение баннера. На самом деле ни один из них не имеет отношения к синхронизации.
Похоже, что безопасность синхронизации Google была немного ужесточена. Отключите синхронизацию Веб-альбомов Picasa, и все ваши данные Google должны быть синхронизированы в зашифрованном виде.
рынок
Это немного беспокоило меня:
Возвращаемое значение - 302 Moved Temporary, которое указывает на очень сложный URL-адрес для загрузки:
Менеджер загрузок Android поворачивается направо и запрашивает местоположение загрузки,
MarketDA
снова передавая файл cookie.Я не знаю, есть ли какая-либо угроза безопасности от того, как Market скачивает APK. Худшее, что я могу себе представить, это то, что незашифрованные загрузки APK открывают возможность перехвата и замены вредоносным пакетом, но я уверен, что Android имеет проверку подписи, чтобы предотвратить это.
источник