Какие данные Sync'd Android зашифрованы? -- 2.2-froyo поле с участием sync поле с участием security поле с участием encryption поле с участием privacy пол android Связанный проблема

What Android sync'd data is encrypted?


24
vote

проблема

русский

с выпуском плагина fireesheep для Firefox он стал тривиальным для просмотра веб-сайта в открытых сетях Wi-Fi быть угнанным 3-го вечеринка.

Android предлагает удобную опцию автосонсинга. Однако я боюсь, что мои данные могут быть автоматически Sync'd, в то время как я подключаюсь к открытой сети Wi-Fi, в то время как в местном кафе или торговом центре.

- все данные Android Auto-Syncs, зашифрованные с использованием SSL или аналогичного механизма шифрования? Есть ли какие-либо данные с автоматической синхронизацией, незащищенные и передаются в ясно, чтобы все слушать?

<Сильное> Обновление : полностью небезопасно !!!! Смотрите ниже !!!!

Английский оригинал

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Список ответов

13
 
vote
vote
Лучший ответ
 

Примечание. Отвечая на мой собственный вопрос, как никто не знал.

Я сделал захват пакета после выбора меню - & gt; Счета & AMP; Синхронизация - & gt; Автосинхронизация (также доступна через виджет «Управление питанием»). Что я обнаружил?

на мой ужас (HTTP-запросы от телефона, отображаемого ниже):

 <код> GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip   

и

 <код> GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip   

Мои контакты и календарь передаются без окрашиваемости ! В настоящее время я не синхронизирую Gmail, поэтому я не мог сказать, если это либо незашифровано.

Также приложение фондового рынка (которое должно быть услугой, потому что у меня нет отображаемого виджета или приложения Active):

 <код> POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>   

Полностью Непритвержденный запрос на цитаты акций: просто подумайте, вы могли бы сидеть в Starbucks в финансовом центре вашего города и пакета-появления, какие цитаты были важны для всех пользователей смарт-телефона вокруг вас ..

Другие предметы, которые не были зашифрованы:

    .
  • http-запрос на <код> htc.accuweather.com
  • время запрос <код> time-nw.nist.gov:13 (даже не использует ntp)

о данных только , которые зашифрованы на моем телефоне, - это почтовые учетные записи, которые я настроил с приложением K-9 (потому что все мои почтовые учетные записи используют SSL - и, к счастью, учетные записи Gmail, по умолчанию , SSL; и Yahoo! Mail поддерживает IMAP, используя SSL тоже). Но кажется, что нет из автосинхронизации данных из неработающего телефона зашифрованы.

Это на HTC Desire Z с установленным Froyo 2.2. Урок: Не используйте телефон в открытой беспроводной сети без VPN зашифрованного туннелирования !!!

Примечание, захват пакета, взятый с помощью TSHARK на интерфейсе PPP0 на виртуальном узле, запущенном Debian, подключенный к телефону Android через OpenSwan (IPSec) XL2TPD (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

Результаты, захваченные на LG Optimus V (VM670), Android 2.2.1, запас, укоренились, приобретены в марте 2011 года.

На сегодняшний день единственные незашифрованные запросы, которые я мог найти в PCAP, сделанном во время полного резинса:

Веб-альбомы Picasa

 <код> GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip   

Вот и все.

Picasa была единственной службой, которую я мог бы найти синхронизированные незашифрованные. Facebook запросил пару изображений профиля (но не проходил никакой информации учетной записи); Skype запрашивала рекламу; А тойоу схватил новое изображение баннера. Никто из тех не относится к синхронизации, правда.

Так выглядит как синхронизация Google Syncing была затянута довольно немного. Выключите синхронизирующие веб-альбомы Picasa и все ваши данные Google должны быть синхронизированы в зашифрованной форме.

Рынок

Это беспокоит меня немного:

 <код> GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager   

Возврат этого - это 302 временно перемещены, что указывает на высоко сложный URL загрузки:

 <код> HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked   

Диспетчер загрузки Android поворачивается прямо и запросиет, чтобы загрузить местоположение, передавая <код> MarketDA Cookie.

Я не знаю, есть ли какая-то опасность безопасности от того, как рыночные загрузки APKS. Худшее, что я могу себе представить, это то, что незашифрованные загрузки APK открывают возможность перехвата & AMP; замена вредоносным пакетом, но я уверен, что Android имеет проверки подписи, чтобы предотвратить это.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Связанный проблема

14  Как приготовить мой укорененный и модированный телефон для перепродажи?  ( How do i prep my rooted and moded phone for resale ) 
У меня есть укоренившийся mytouch 3G (HTC Magic), который я хочу продать, чтобы помочь оплатить стоимость моего нового телефона. Я бегаю цианогенмод по телефо...

59  Есть ли какие-либо инструменты для Sandbox Malware Action даже больше, чем самые выданные разрешения на Android?  ( Are there any tools to sandbox a malware application even more than the granted ) 
Предположим, я хочу запустить некоторую программу, которая запрашивает слишком много разрешений. Например, запись от микрофона или прочитайте IMEI моего телеф...

8  Безопасность / Обезыки о конфиденциальности относительно пользовательских Android ROM  ( Security privacy concerns regarding custom android rom ) 
Каковы проблемы безопасности и конфиденциальности, окружающие с использованием пользовательских Android ROM, такими как of цианоген ? ...

2  Мои контакты зашифрованы на моем андроиде?  ( Are my contacts encrypted on my android ) 
мои контакты, зашифрованные на моем андроиде и где они? Как я могу получить доступ к ним? Любые публичные API? (С ПК) ...

6  Почему приложения App Scaper Apps нужно так много разрешений? Я в безопасности?  ( Why do app locker apps need so many permissions am i safe ) 
Я пытался защитить пароль приложения, и кажется, что разрешения варьируются от приложения в приложение для блокировки приложений. Почему многие из них требу...

22  Я продал свой телефон на eBay. Что мне делать, прежде чем я отправлю это?  ( I have sold my phone on ebay what should i do before i send it off ) 
У меня есть телефон Android, который я только что продал на eBay. Какие меры я должен принять, прежде чем публиковать его в новый дом? Пожалуйста, ответьте на...

24  Какие данные Sync'd Android зашифрованы?  ( What android syncd data is encrypted ) 
с выпуском плагина fireesheep для Firefox он стал тривиальным для просмотра веб-сайта в открытых сетях Wi-Fi быть угнанным 3-го вечеринка. Android предлаг...

0  Nexus One Wi-Fi трафик проходит через Google?  ( Does nexus one wifi traffic go through google ) 
Когда я использую браузер по умолчанию (что это? Это Chrome? Firefox? Другое?) Для просмотра сайта (не обязательно через поиск Google), каковы кто-нибудь из э...

28  Аудиторские разрешения приложений легко в одном месте?  ( Audit app permissions easily in one place ) 
Есть ли в любом случае, чтобы перечислить все приложения, установленные на вашем телефоне, и разрешения, которые им требуют на одной странице, или экспортиров...

26  Почему New Chrome Update хочет, чтобы разрешение было использовать мою камеру и запись аудио?  ( Why does the new chrome update want the permission to use my camera and audio re ) 
Серьезно, это конкретно утверждает, что он может использовать камеру и аудиозапись в любое время, которое он хочет, если бы я желаю этому . Почему Chrome на ...

11  Как заблокировать все телефонные звонки, но разрешать только SMS и сети?  ( How to block all phone calls but only allow sms and networking ) 
Это вроде беспокоит, когда люди продолжают звонить мне во время работы или встречи, но мне все в порядке, если я получу короткие сообщения или сообщение Whats...

9  Как вы зашифруете свое устройство, запущенное цианогенмоду 12.1?  ( How do you encrypt your device running cyanogenmod 12 1 ) 
Cyanogenmod 12 и 12.1 'Encrypt Phone' Site Site Share и было довольно долго. Есть ли способ шифровать телефон в какой-то другой моде? CAN CM останавливается...

2  Блокировка системы Android, предупреждение батареи, Com.media Tek, общие данные ... 'От подключения к Интернету  ( Blocking android system battery warning com media tek common data service fro ) 
Я использую Noroot Firewall, чтобы заблокировать доступ в Интернет к некоторым приложениям. Это недавно уведомило меня, что это / эти приложения пытаются полу...

3  Можно ли позвонить без доступа к списку контактов?  ( Is it possible to make a call without having access to the contacts list ) 
Можно ли позвонить без доступа к контактам телефона? Я Скажем, я позволил другу использовать свой телефон, и заблокируйте свои контакты, чтобы он требует выво...

2  Можно ли приложение OPS запустить на 4.4.4?  ( Can app ops run on 4 4 4 ) 
Я установил и попробовал несколько из " App Ops " стартовые приложения из магазина Google Play. Когда я бегу любой из них, появляется диалоговое окно «К сожал...

12  Насколько это практично использовать телефон Android, в обход Google полностью?  ( How practical it is to use an android phone bypassing google completely ) 
Одна из первых вещей, которые я заметил на моем Nexus One, когда я включал его в первый раз, был Gmail, Talk, голос, карты, календарь Google и многие другие у...

0  Это, что возможно для Wallpaper Cache, сохранено в папку Android / Data? (Не укоренился)  ( It that possible for the wallpaper cache saved in android data folder being hac ) 
Мой парень шутил со мной, настраивая свое личное фото в качестве обоев. Я удалил фотографию, но обои еще остается там ... После просмотра некоторой информ...

0  Как приложение для Android может ограничивать все мои учетные записи на моем телефоне?  ( How an android app can restrict all my accounts on my phone ) 
Я использую несколько учетных записей для приложения Android в моем телефоне. Сегодня приложение заблокировало все мои учетные записи, потому что не разрешено...

6  Вопросы о конфиденциальности Android  ( Questions about android privacy ) 
Предупреждение разрешений на рынке Android очень расплывчато. Кроме того, я не вижу разрешения приложений в коллективном районе всех приложений, которые я ран...

90  Почему так много приложений требуют разрешения на чтение состояния телефона и идентичности?  ( Why do so many applications require permission to read the phone state and ident ) 
Почему так много приложений требуют разрешения на чтение состояния телефона и идентичности?. В частности: <код> Phone calls read phone state and identity...

8  Как синхронизировать контакты и календарь с системой Linux, без использования Gmail?  ( How to sync contacts and calendar with linux system without using gmail ) 
Как я могу синхронизировать мои контакты и календарь с системой Linux? Я бы предпочел синхронизировать с моим рабочим столом, но настраивая сервер в Интерне...

11  Каковы последствия конфиденциальности использования Talk-to-Text?  ( What are the privacy implications of using talk to text ) 
Учитывая, что Android-реализация Tox-to-Text отправляет ваш голос на серверы Google, анализирует вашу речь в текст, а затем отправляет текстовую строку обратн...

10  Какой самый полный способ стереть все данные с моего телефона, чтобы он не мог быть восстановлен?  ( Whats the most complete way to erase all the data from my phone so it cannot be ) 
Я только что получил замену дроида и отправит мой нынешний дроид обратно на Motorola. Я уверен, что они собираются восстановить его и перепродать его. Я все п...

2  Как удалить файл из «Последние файлы» на Android 10?  ( How to remove file from recent files on android 10 ) 
В файлах приложение App android 10 (пиксель 2 XL), есть «недавняя» категория. Для причин конфиденциальности я хотел удалить файл в этой категории. Насколько я...

7  Почему мне нужен учетная запись Gmail для использования Android?  ( Why do i need a gmail account to use android ) 
Я новый пользователь телефона Android. Я имел владение iPhone. Я не помню, что нуждается в Apple Account, кроме того, используя его для загрузки приложений из...

Связанный проблема

14  Как приготовить мой укорененный и модированный телефон для перепродажи? 
59  Есть ли какие-либо инструменты для Sandbox Malware Action даже больше, чем самые выданные разрешения на Android? 
8  Безопасность / Обезыки о конфиденциальности относительно пользовательских Android ROM 
2  Мои контакты зашифрованы на моем андроиде? 
6  Почему приложения App Scaper Apps нужно так много разрешений? Я в безопасности? 
22  Я продал свой телефон на eBay. Что мне делать, прежде чем я отправлю это? 
24  Какие данные Sync'd Android зашифрованы? 
0  Nexus One Wi-Fi трафик проходит через Google? 
28  Аудиторские разрешения приложений легко в одном месте? 
26  Почему New Chrome Update хочет, чтобы разрешение было использовать мою камеру и запись аудио? 
11  Как заблокировать все телефонные звонки, но разрешать только SMS и сети? 
9  Как вы зашифруете свое устройство, запущенное цианогенмоду 12.1? 
2  Блокировка системы Android, предупреждение батареи, Com.media Tek, общие данные ... 'От подключения к Интернету 
3  Можно ли позвонить без доступа к списку контактов? 
2  Можно ли приложение OPS запустить на 4.4.4? 
12  Насколько это практично использовать телефон Android, в обход Google полностью? 
0  Это, что возможно для Wallpaper Cache, сохранено в папку Android / Data? (Не укоренился) 
0  Как приложение для Android может ограничивать все мои учетные записи на моем телефоне? 
6  Вопросы о конфиденциальности Android 
90  Почему так много приложений требуют разрешения на чтение состояния телефона и идентичности? 
8  Как синхронизировать контакты и календарь с системой Linux, без использования Gmail? 
11  Каковы последствия конфиденциальности использования Talk-to-Text? 
10  Какой самый полный способ стереть все данные с моего телефона, чтобы он не мог быть восстановлен? 
2  Как удалить файл из «Последние файлы» на Android 10? 
7  Почему мне нужен учетная запись Gmail для использования Android?