Какие данные Sync'd Android зашифрованы? -- 2.2-froyo поле с участием sync поле с участием security поле с участием encryption поле с участием privacy пол android Связанный проблема

What Android sync'd data is encrypted?


24
vote

проблема

русский

с выпуском плагина fireesheep для Firefox он стал тривиальным для просмотра веб-сайта в открытых сетях Wi-Fi быть угнанным 3-го вечеринка.

Android предлагает удобную опцию автосонсинга. Однако я боюсь, что мои данные могут быть автоматически Sync'd, в то время как я подключаюсь к открытой сети Wi-Fi, в то время как в местном кафе или торговом центре.

- все данные Android Auto-Syncs, зашифрованные с использованием SSL или аналогичного механизма шифрования? Есть ли какие-либо данные с автоматической синхронизацией, незащищенные и передаются в ясно, чтобы все слушать?

<Сильное> Обновление : полностью небезопасно !!!! Смотрите ниже !!!!

Английский оригинал

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Список ответов

13
 
vote
vote
Лучший ответ
 

Примечание. Отвечая на мой собственный вопрос, как никто не знал.

Я сделал захват пакета после выбора меню - & gt; Счета & AMP; Синхронизация - & gt; Автосинхронизация (также доступна через виджет «Управление питанием»). Что я обнаружил?

на мой ужас (HTTP-запросы от телефона, отображаемого ниже):

 <код> GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip   

и

 <код> GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip   

Мои контакты и календарь передаются без окрашиваемости ! В настоящее время я не синхронизирую Gmail, поэтому я не мог сказать, если это либо незашифровано.

Также приложение фондового рынка (которое должно быть услугой, потому что у меня нет отображаемого виджета или приложения Active):

 <код> POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>   

Полностью Непритвержденный запрос на цитаты акций: просто подумайте, вы могли бы сидеть в Starbucks в финансовом центре вашего города и пакета-появления, какие цитаты были важны для всех пользователей смарт-телефона вокруг вас ..

Другие предметы, которые не были зашифрованы:

    .
  • http-запрос на <код> htc.accuweather.com
  • время запрос <код> time-nw.nist.gov:13 (даже не использует ntp)

о данных только , которые зашифрованы на моем телефоне, - это почтовые учетные записи, которые я настроил с приложением K-9 (потому что все мои почтовые учетные записи используют SSL - и, к счастью, учетные записи Gmail, по умолчанию , SSL; и Yahoo! Mail поддерживает IMAP, используя SSL тоже). Но кажется, что нет из автосинхронизации данных из неработающего телефона зашифрованы.

Это на HTC Desire Z с установленным Froyo 2.2. Урок: Не используйте телефон в открытой беспроводной сети без VPN зашифрованного туннелирования !!!

Примечание, захват пакета, взятый с помощью TSHARK на интерфейсе PPP0 на виртуальном узле, запущенном Debian, подключенный к телефону Android через OpenSwan (IPSec) XL2TPD (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Результаты, захваченные на LG Optimus V (VM670), Android 2.2.1, запас, укоренились, приобретены в марте 2011 года.

На сегодняшний день единственные незашифрованные запросы, которые я мог найти в PCAP, сделанном во время полного резинса:

Веб-альбомы Picasa

 <код> GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip   

Вот и все.

Picasa была единственной службой, которую я мог бы найти синхронизированные незашифрованные. Facebook запросил пару изображений профиля (но не проходил никакой информации учетной записи); Skype запрашивала рекламу; А тойоу схватил новое изображение баннера. Никто из тех не относится к синхронизации, правда.

Так выглядит как синхронизация Google Syncing была затянута довольно немного. Выключите синхронизирующие веб-альбомы Picasa и все ваши данные Google должны быть синхронизированы в зашифрованной форме.

Рынок

Это беспокоит меня немного:

 <код> GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager   

Возврат этого - это 302 временно перемещены, что указывает на высоко сложный URL загрузки:

 <код> HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked   

Диспетчер загрузки Android поворачивается прямо и запросиет, чтобы загрузить местоположение, передавая <код> MarketDA Cookie.

Я не знаю, есть ли какая-то опасность безопасности от того, как рыночные загрузки APKS. Худшее, что я могу себе представить, это то, что незашифрованные загрузки APK открывают возможность перехвата & AMP; замена вредоносным пакетом, но я уверен, что Android имеет проверки подписи, чтобы предотвратить это.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Связанный проблема

0  Это, что возможно для Wallpaper Cache, сохранено в папку Android / Data? (Не укоренился)  ( It that possible for the wallpaper cache saved in android data folder being hac ) 
Мой парень шутил со мной, настраивая свое личное фото в качестве обоев. Я удалил фотографию, но обои еще остается там ... После просмотра некоторой информ...

90  Почему так много приложений требуют разрешения на чтение состояния телефона и идентичности?  ( Why do so many applications require permission to read the phone state and ident ) 
Почему так много приложений требуют разрешения на чтение состояния телефона и идентичности?. В частности: <код> Phone calls read phone state and identity...

9  Как вы зашифруете свое устройство, запущенное цианогенмоду 12.1?  ( How do you encrypt your device running cyanogenmod 12 1 ) 
Cyanogenmod 12 и 12.1 'Encrypt Phone' Site Site Share и было довольно долго. Есть ли способ шифровать телефон в какой-то другой моде? CAN CM останавливается...

24  Какие данные Sync'd Android зашифрованы?  ( What android syncd data is encrypted ) 
с выпуском плагина fireesheep для Firefox он стал тривиальным для просмотра веб-сайта в открытых сетях Wi-Fi быть угнанным 3-го вечеринка. Android предлаг...

2  Мои контакты зашифрованы на моем андроиде?  ( Are my contacts encrypted on my android ) 
мои контакты, зашифрованные на моем андроиде и где они? Как я могу получить доступ к ним? Любые публичные API? (С ПК) ...

6  Почему приложения App Scaper Apps нужно так много разрешений? Я в безопасности?  ( Why do app locker apps need so many permissions am i safe ) 
Я пытался защитить пароль приложения, и кажется, что разрешения варьируются от приложения в приложение для блокировки приложений. Почему многие из них требу...

2  Можно ли приложение OPS запустить на 4.4.4?  ( Can app ops run on 4 4 4 ) 
Я установил и попробовал несколько из " App Ops " стартовые приложения из магазина Google Play. Когда я бегу любой из них, появляется диалоговое окно «К сожал...

3  Можно ли позвонить без доступа к списку контактов?  ( Is it possible to make a call without having access to the contacts list ) 
Можно ли позвонить без доступа к контактам телефона? Я Скажем, я позволил другу использовать свой телефон, и заблокируйте свои контакты, чтобы он требует выво...

26  Почему New Chrome Update хочет, чтобы разрешение было использовать мою камеру и запись аудио?  ( Why does the new chrome update want the permission to use my camera and audio re ) 
Серьезно, это конкретно утверждает, что он может использовать камеру и аудиозапись в любое время, которое он хочет, если бы я желаю этому . Почему Chrome на ...

2  Как удалить файл из «Последние файлы» на Android 10?  ( How to remove file from recent files on android 10 ) 
В файлах приложение App android 10 (пиксель 2 XL), есть «недавняя» категория. Для причин конфиденциальности я хотел удалить файл в этой категории. Насколько я...