Quali dati sincronizzati Android sono crittografati?

Con il rilascio del plug-in firesheep per Firefox è diventato banale che la navigazione di siti Web su reti Wi-Fi aperte venga dirottata da ascoltatori di terze parti.

Android offre la comoda opzione di sincronizzazione automatica. Tuttavia, temo che i miei dati possano essere sincronizzati automaticamente mentre sono connesso a una rete Wi-Fi aperta mentre sono al bar o al centro commerciale locali.

Tutti i dati di sincronizzazione automatica di Android vengono crittografati tramite SSL o un meccanismo di crittografia simile? I dati sincronizzati automaticamente non sono crittografati e trasmessi in chiaro affinché tutti possano ascoltarli?

Aggiornamento : COMPLETAMENTE insicuro !!!! Vedi sotto!!!!

— PP.
fonte

La rivista tedesca Heise ha un ottimo articolo su questa domanda. È solo in tedesco, ma potresti usare un servizio di traduzione. link: heise

— NES

Sembra, infine, che Google si occuperà dei dati dei suoi utenti: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html

— Eduardo,

Risposte:

Nota: rispondere alla mia domanda come nessuno sapeva.

Ho fatto un'acquisizione di pacchetti dopo aver selezionato Menu -> Account e sincronizzazione -> Sincronizzazione automatica (accessibile anche tramite il widget "Power Control"). Cosa ho scoperto?

Con mio orrore (richieste http dal telefono visualizzate sotto):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

I miei contatti e il calendario vengono trasmessi senza crittografia ! Al momento non sincronizzo Gmail, quindi non posso dire se neanche quello è crittografato.

Anche l'applicazione di borsa (che deve essere un servizio perché non ho il widget visualizzato o l'applicazione attiva):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Richiesta completamente non crittografata per le quotazioni di borsa: basti pensare, potresti sederti a Starbucks nel centro finanziario della tua città e annusare i pacchetti quali citazioni erano importanti per tutti gli utenti di smartphone intorno a te ..

Altri elementi che non sono stati crittografati:

richiesta http a htc.accuweather.com
richiesta di tempo a time-nw.nist.gov:13(non usa nemmeno NTP)

Gli unici dati crittografati sul mio telefono sono gli account di posta che ho configurato con l'applicazione K-9 (perché tutti i miei account di posta utilizzano SSL - e fortunatamente gli account di Gmail sono, per impostazione predefinita, SSL; e yahoo! Mail supporta imap utilizzando Anche SSL ). Ma sembra che nessuno dei dati sincronizzati automaticamente dal telefono out-of-box sia crittografato.

Questo è su un HTC Desire Z con Froyo 2.2 installato. Lezione: non utilizzare il telefono su una rete wireless aperta senza tunneling crittografato VPN !!!

Si noti che l'acquisizione di pacchetti è stata eseguita utilizzando tshark sull'interfaccia ppp0 sul nodo virtuale che esegue Debian connesso al telefono Android tramite OpenSwan (IPSEC) xl2tpd (L2TP).

— PP.
fonte

È preoccupante. Non riesco a vedere alcun cookie che passi avanti e indietro lì, vengono inviati anche in chiaro?

— GAThrawn

La auth=stringa conteneva ciò che sembrava essere simile a un cookie, l'ho eliminato prima di pubblicarlo qui per sicurezza.

— PP.

È ancora un problema attuale su Android 2.3.1?

— Meinzlein,

Credo che tu possa configurare Android 4 per usare sempre una connessione VPN.

— intuito il

Risultati acquisiti su un LG Optimus V (VM670), Android 2.2.1, stock, rooted, acquistato a marzo 2011.

Ad oggi, le uniche richieste non crittografate che ho potuto trovare in un pcap preso durante una risincronizzazione completa erano:

Picasa Web Album

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Questo è tutto.

Picasa era l'unico servizio che riuscivo a trovare sincronizzato senza crittografia. Facebook ha richiesto un paio di immagini del profilo (ma non ha trasmesso alcuna informazione sull'account); Skype ha richiesto annunci; e TooYoou ha preso una nuova immagine di banner. Nessuno di questi riguarda la sincronizzazione, davvero.

Quindi sembra che la sicurezza di sincronizzazione di Google sia stata rafforzata un po '. Disattiva la sincronizzazione di Picasa Web Album e tutti i tuoi dati di Google devono essere sincronizzati in forma crittografata.

Mercato

Questo mi ha infastidito un po ':

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Il ritorno di questo è un 302 spostato temporaneamente che punta a un URL di download molto complesso:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Il download manager di Android si gira e richiede tale posizione di download, passando MarketDAnuovamente il cookie.

Non so se ci siano pericoli per la sicurezza da come Market scarica gli APK. Il peggio che posso immaginare è che i download di APK non crittografati aprono la possibilità di intercettazione e sostituzione con un pacchetto dannoso, ma sono sicuro che Android abbia controlli di firma per impedirlo.

— DGW
fonte

Sono contento che dalla mia prima scoperta che altri lo stiano prendendo sul serio ora. Grazie! Mi sono sentita sola nel deserto quando ho pubblicato la domanda / risposta iniziale. In realtà non ho più testato dal post originale e ho seguito pratiche più sicure, ma sono contento che altri lo stiano seguendo.

— PP.

A volte ricevo degli sguardi divertenti dalle persone perché sputo sulla sicurezza come se fosse normale. E tre giorni dopo aver pubblicato questo, ho concluso un accordo di Cyber Monday su un nuovo Motorola Triumph. I problemi del servizio clienti hanno ritardato il suo arrivo fino allo scorso mercoledì, ma ho scoperto rapidamente che ha grossi problemi con le reti protette da EAP. Il mio college utilizza EAP. Quindi sono contento di averlo esaminato. Potrebbero arrivare altri, dato che non ho ancora testato Currents. ;)

— dgw

Voglio solo incoraggiarti: sembra una brava persona a preoccuparsi abbastanza della sicurezza.

— PP.