어떤 Android 동기화 데이터가 암호화됩니까?

24

firefox 용 firesheep 플러그인 이 출시되면서 개방형 Wi-Fi 네트워크에서 웹 사이트 탐색이 제 3 자 청취자에 의해 납치되는 것은 쉽지 않습니다.

안드로이드는 편리한 자동 동기화 옵션을 제공합니다. 그러나 현지 커피 숍이나 쇼핑몰에서 열린 Wi-Fi 네트워크에 연결되어있는 동안 내 데이터가 자동 동기화 될 수 있습니다.

모든 데이터 Android 자동 동기화가 SSL 또는 유사한 암호화 메커니즘을 사용하여 암호화됩니까? 모든 사람이들을 수 있도록 자동 동기화 된 데이터가 암호화되지 않고 전송됩니까?

업데이트 : 완전히 검사 !!!! 아래를 참조하십시오 !!!!

2.2-froyo  sync  security  encryption  privacy 
PP.
소스
German Heise Magazine에는 그 질문에 대한 훌륭한 기사가 있습니다. 독일어로되어 있지만 번역 서비스를 사용할 수 있습니다. 링크 : heise
NES
결국 구글은 사용자 데이터를 관리 할 것으로 보인다 : uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

답변:

13

참고 : 아무도 모르는대로 내 자신의 질문에 대답하십시오.

메뉴-> 계정 및 동기화-> 자동 동기화 ( "전원 제어"위젯을 통해 액세스 가능)를 선택한 후 패킷 캡처를 수행했습니다. 내가 무엇을 발견 했습니까?

공포에 (전화의 http 요청이 아래에 표시됨) :

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip


GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

연락처캘린더암호화되지 않은 상태 로 전송되고 있습니다 ! 나는 현재 gmail을 동기화하지 않으므로 암호화되지 않은 경우 말할 수 없습니다.

또한 주식 시장 응용 프로그램 (위젯이 표시되지 않거나 응용 프로그램이 활성화되어 있지 않기 때문에 서비스 여야 함) :

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

완벽하게 암호화되지 않은 주식 시세 요청 : 도시 금융 센터의 스타 벅스에 앉아 주변의 모든 스마트 폰 사용자에게 중요한 견적을 패킷 스니핑 할 수 있다고 생각하십시오.

암호화되지 않은 다른 항목 :

  • http 요청 htc.accuweather.com
  • 시간 요청 time-nw.nist.gov:13(NTP를 사용하지 않더라도)

[정보 단지 내 전화에 암호화 된 데이터는 메일이 I합니다 (K-9 응용 프로그램 설정 계정 모두 내 메일을 사용하는 SSL을 차지하기 때문에 - 그리고 계정은 다행히 Gmail을, 기본, SSL에 의해, 그리고 ! 야후 메일 지원 사용하여 IMAP SSL 도). 그러나 기본 제공 전화의 자동 동기화 데이터는 암호화 되지 않은 것 같습니다 .

이것은에 HTC의 디자 이어 Z 설치 프로 요 2.2. 레슨 : VPN 암호화 터널링없이 개방형 무선 네트워크에서 전화를 사용하지 마십시오 !!!

OpenSwan (IPSEC) xl2tpd (L2TP)를 통해 안드로이드 폰에 연결된 데비안을 실행하는 가상 노드의 ppp0 인터페이스에서 tshark를 사용하여 패킷 캡처를 수행합니다.

PP.
소스
1
걱정입니다. 쿠키가 앞뒤로 전달되는 것을 볼 수 없습니다. 쿠키도 투명하게 발송됩니까?
GAThrawn
auth=문자열은 내가하지만, 보안을 위해 여기에 게시하기 전에 그것을 삭제, 쿠키와 유사한 것처럼 보였던 포함되어 있습니다.
PP.
2
이것은 Android 2.3.1에서 여전히 현재 문제입니까?
meinzlein
항상 VPN 연결을 사용하도록 Android 4를 설정할 수 있다고 생각합니다.
intuited
4

2011 년 3 월에 구매 한 LG 옵티머스 V (VM670), 안드로이드 2.2.1, 재고에 대한 결과.

오늘 현재, 완전한 재 동기화 중에 취한 pcap에서 찾을 수있는 암호화되지 않은 유일한 요청은 다음과 같습니다.

Picasa 웹 앨범

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

그게 다야.

Picasa는 암호화되지 않은 상태에서 동기화되는 유일한 서비스입니다. Facebook은 몇 개의 프로필 이미지를 요청했지만 계정 정보는 전달하지 않았습니다. Skype가 요청한 광고; TooYoou는 새로운 배너 이미지를 얻었습니다. 그중 어느 것도 실제로 동기화와 관련이 없습니다.

따라서 Google의 동기화 보안이 상당히 강화 된 것 같습니다. Picasa 웹 앨범 동기화를 사용 중지 하면 모든 Google 데이터가 암호화 된 형식으로 동기화되어야합니다.

시장

이것은 나를 조금 귀찮게했습니다.

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

이것의 반환은 매우 복잡한 다운로드 URL을 가리키는 302 Moved Temporarily입니다.

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Android의 다운로드 관리자는 바로 돌아 서서 해당 다운로드 위치를 요청하고 MarketDA쿠키를 다시 전달 합니다.

마켓에서 APK를 다운로드하는 방식에 보안 위험이 있는지 모르겠습니다. 최악의 상황은 암호화되지 않은 APK 다운로드가 악성 패키지로 가로 채기 및 교체 가능성을 열어 주지만 안드로이드가이를 막기 위해 서명 확인을 확신하고 있다는 것입니다.

dgw
소스
나는 다른 사람들이 이것을 진지하게 받아들이고 있다는 사실을 처음 알게 되었기 때문에 기쁘다. 고맙습니다! 초기 질문 / 응답을 올렸을 때 나는 광야에서 홀로있는 느낌이 들었습니다. 원래 게시물 이후 실제로 재 테스트를 수행하지 않았으며보다 안전한 관행을 유지했습니다.하지만 다른 사람들이이를 계속해서 기뻐합니다.
PP.
1
나는 평범한 것처럼 보안에 대해 뱉어 내기 때문에 때때로 사람들로부터 재미있는 표정을 얻습니다. 이 글을 올린 지 3 일 만에 나는 새로운 월요일의 Triumph에 대한 사이버 먼데이 계약을 시작했습니다. 고객 서비스 문제로 인해 지난 수요일까지 도착이 지연되었지만 EAP 보안 네트워크에 큰 문제가 있음을 금방 알게되었습니다. 우리 대학은 EAP를 사용합니다. 그래서 이것으로 조사해서 다행입니다. 아직 Currents를 테스트하지 않았으므로 더 많이 올 수 있습니다. ;)
dgw
나는 당신을 격려하고 싶습니다. 보안에 대해 충분히 신경을 쓰는 좋은 사람처럼 들립니다.
PP.
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.