Quelles données d'Android Sync'd sont cryptées? -- 2.2-froyo domaine et sync domaine et security domaine et encryption domaine et privacy domain android en relation problème

What Android sync'd data is encrypted?



24
vote

problème

français

avec la sortie du plug-in FireSeep pour Firefox Il est devenu trivial pour la navigation sur le site Web sur les réseaux Wi-Fi ouverts être détourné par les auditeurs tiers.

Android offre l'option de synchronisation automatique pratique. Cependant, je crains que mes données puissent être auto-synchronisées pendant que je suis connecté à un réseau Wi-Fi ouvert, tandis que dans le café local ou le centre commercial.

Est-ce que toutes les données d'auto-synchronisation Android cryptées en utilisant SSL ou un mécanisme de cryptage similaire? Est-ce que des données auto-synchronisées sont non cryptées et transmises dans les effectifs pour tous d'écouter?

mise à jour : complètement insécurité !!!! Voir ci-dessous !!!!

langue Anglaise

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

Liste de réponses

13
 
vote
vote
Meilleure réponse
 

Remarque: Répondre à ma propre question comme personne ne le savait.

J'ai fait une capture de paquets après avoir sélectionné Menu - & GT; Comptes et amplis; Synchronisation - & gt; Auto-synchronisation (également accessible via le widget "Contrôle de puissance"). Qu'est-ce que j'ai découvert?

à mon horreur (Demandes http du téléphone affiché ci-dessous):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

et

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Mes les contacts et calendrier sont transmis non cryptés ! Je ne synchronise pas actuellement Gmail, donc je ne pouvais pas dire si cela est non chiffré non plus.

Aussi la demande boursière (qui doit être un service car je n'ai pas le widget affiché ni l'application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>

Complètement Demande non chiffrée de citations de stock: Pensez simplement, vous pourriez vous asseoir à Starbucks dans le centre financier de votre ville et de votre paquet-sniff quelles citations étaient importantes pour tous les utilisateurs de téléphones intelligents autour de vous ..

Autres articles qui n'étaient pas cryptés:

  • Demande HTTP à htc.accuweather.com
  • Demande Demande to time-nw.nist.gov:13 (N'EST MÊME UTILISATION NTP)

À propos des données cryptées sur mon téléphone sont les comptes de messagerie I configurés avec l'application K-9 (car tous mes comptes de messagerie utilisent SSL - et heureusement les comptes Gmail sont, par défaut. , SSL; et Yahoo! Mail prend également en charge IMAP à l'aide de SSL aussi). Mais il semble aucun des données automatiques de synchronisation à partir du téléphone hors de la boîte est crypté.

Ceci est sur un HTC Desire Z avec Froyo 2.2 installé. Leçon: N'utilisez pas de téléphone sur Ouvrir le réseau sans fil sans tunneling crypté VPN !!!

Remarque, Capture de paquets prise en utilisant TSHARK sur l'interface PPP0 sur le nœud virtuel exécutant Debian connecté au téléphone Android via OpenSec (IPSec) XL2TPD (L2TP).

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

résultats capturés sur un LG Optimus V (VM670), Android 2.2.1, Stock, Enraciné, acheté en mars 2011.

À compter d'aujourd'hui, les seules demandes non cryptées que je pouvais trouver dans un PCAP pris lors d'une resynchrone complète étaient les suivantes:

Albums Web Picasa

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip

C'est ça.

Picasa était le seul service que je pouvais trouver être synchronisé non crypté. Facebook a demandé à quelques images de profil (mais n'a pas transmis aucune information de compte); Skype a demandé des annonces; et Tooyoou attrapa une nouvelle image de bannière. Aucun de ceux qui se rapportent à la synchronisation, vraiment.

Il semble donc que la sécurité de la synchronisation de Google ait été resserrée un peu. désactiver la synchronisation des albums Web Picasa et toutes vos données Google doivent être synchronisées sous forme cryptée.

Marché

Cela m'a dérangé un peu:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped> &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager

Le retour de ceci est un 302 déplacé temporairement qui pointe vers une URL de téléchargement hautement complexe:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0 &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped> &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked

Le gestionnaire de téléchargement de Android tourne à droite et demande que l'emplacement de téléchargement en passant le 9988777668 cookie à nouveau.

Je ne sais pas s'il y a un danger de sécurité de la manière dont les téléchargements de marché sont des apks. Le pire que je puisse imaginer, c'est que les téléchargements APK non cryptés ouvrent la possibilité d'interception et d'ampli; Remplacement d'un package malveillant, mais je suis sûr que Android a des contrôles de signature pour empêcher cela.

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

Questions connexes

2  Mes contacts sont-ils cryptés sur mon Android?  ( Are my contacts encrypted on my android ) 
mes contacts sont cryptés sur mon Android et où sont-ils? Comment puis-je y accéder? Des API publiques? (De PC) ...

26  Pourquoi la nouvelle mise à jour de Chrome veut-elle la permission d'utiliser mon appareil photo et mon enregistrement audio?  ( Why does the new chrome update want the permission to use my camera and audio re ) 
Sérieusement, il stipule spécifiquement qu'il peut utiliser l'appareil photo et l'enregistrement audio à tout moment, que je souhaite ou non, je souhaite qu'...

6  Pourquoi les applications de casier de l'application ont-elles besoin de tant d'autorisations? Suis-je en sécurité?  ( Why do app locker apps need so many permissions am i safe ) 
J'ai essayé de protéger par mot de passe une application et il semble que les autorisations varient de l'application à l'application pour les casiers d'applic...

0  C'est possible pour le cache de papier peint enregistré dans Android / Data Dossier étant piraté? (Pas enracinée)  ( It that possible for the wallpaper cache saved in android data folder being hac ) 
Mon petit ami plaisante avec moi, mettait ma photo privée comme fond d'écran. J'ai supprimé la photo mais le fond d'écran reste toujours là ... Après avoi...

3  Est-il possible d'apporter un appel sans avoir accès à la liste des contacts?  ( Is it possible to make a call without having access to the contacts list ) 
est-il possible d'apporter un appel sans donner accès aux contacts du téléphone? C'EST À DIRE. Dites que j'ai laissé un ami utiliser mon téléphone et verrouil...

90  Pourquoi de nombreuses applications nécessitent-elles une autorisation de lire l'état et l'identité du téléphone?  ( Why do so many applications require permission to read the phone state and ident ) 
Pourquoi de nombreuses applications nécessitent-elles une autorisation de lire l'état et l'identité du téléphone ?. Plus précisément: Phone calls read p...

24  Quelles données d'Android Sync'd sont cryptées?  ( What android syncd data is encrypted ) 
avec la sortie du plug-in FireSeep pour Firefox Il est devenu trivial pour la navigation sur le site Web sur les réseaux Wi-Fi ouverts être détourné par les...

2  Comment supprimer le fichier des "fichiers récents" sur Android 10?  ( How to remove file from recent files on android 10 ) 
Dans l'application Fichiers du stock Android 10 (Pixel 2 XL), il existe une catégorie "récente". Pour des raisons de confidentialité, je voulais supprimer un ...

9  Comment crypté votre appareil exécutant CyanogenMod 12.1?  ( How do you encrypt your device running cyanogenmod 12 1 ) 
CyanogenMod 12 et 12.1 'Crypt The Phone' est cassé et fait depuis longtemps. Y a-t-il un moyen de crypter le téléphone d'une autre manière? CM peut-il être ...

2  L'App OPS peut-il fonctionner sur 4.4.4?  ( Can app ops run on 4 4 4 ) 
J'ai installé et essayé plusieurs des " app OPS " Applications de démarrage de Google Play Store. Quand j'exécute n'importe lequel d'entre eux, une boîte de d...




© 2022 www.demandez.top All Rights Reserved. Questions et réponses Accueil Tous les droits sont réservés