Data apa yang disinkronkan Android dienkripsi?

24

Dengan dirilisnya plug-in firesheep untuk firefox , sepele untuk browsing situs web di jaringan Wi-Fi terbuka untuk dibajak oleh pendengar pihak ke-3.

Android menawarkan opsi sinkronisasi otomatis yang nyaman. Namun saya khawatir bahwa data saya akan disinkronkan secara otomatis ketika saya terhubung ke jaringan Wi-Fi terbuka saat berada di kedai kopi lokal atau pusat perbelanjaan.

Apakah semua data sinkronisasi otomatis Android dienkripsi menggunakan SSL atau mekanisme enkripsi serupa? Apakah ada data yang disinkronkan secara otomatis yang tidak dienkripsi dan dikirim secara jelas untuk semua orang?

Pembaruan : SEPENUHNYA INSECURE !!!! Lihat di bawah!!!!

PP
sumber
German Heise Magazine memiliki artikel yang bagus tentang pertanyaan itu. Ini hanya dalam bahasa Jerman, tetapi Anda dapat menggunakan Layanan Terjemahan. link: heise
NES
Tampaknya, akhirnya, Google akan menangani data penggunanya: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

Jawaban:

13

Catatan: menjawab pertanyaan saya sendiri karena tidak ada yang tahu.

Saya melakukan pengambilan paket setelah memilih Menu -> Akun & Sinkronisasi -> Sinkronisasi otomatis (juga dapat diakses melalui widget "Kontrol Daya"). Apa yang saya temukan?

Yang membuatku ngeri (permintaan http dari telepon ditampilkan di bawah):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

dan

GET /proxy/contacts/groups/[email protected]/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Saya kontak dan kalender yang sedang dikirim tidak terenkripsi ! Saat ini saya tidak menyinkronkan gmail jadi saya tidak bisa mengatakan apakah itu juga tidak terenkripsi.

Juga aplikasi pasar saham (yang harus menjadi layanan karena saya tidak memiliki widget yang ditampilkan atau aplikasi aktif):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Permintaan kutipan saham yang benar-benar tidak terenkripsi: hanya berpikir, Anda bisa duduk di Starbucks di pusat keuangan kota Anda dan mengendus paket apa yang penting bagi semua pengguna ponsel pintar di sekitar Anda ..

Item lain yang tidak dienkripsi:

  • Permintaan http ke htc.accuweather.com
  • permintaan waktu untuk time-nw.nist.gov:13(bahkan tidak menggunakan NTP)

Tentang satu - satunya data yang dienkripsi di ponsel saya adalah akun email yang saya atur dengan aplikasi K-9 (karena semua akun email saya menggunakan SSL - dan untungnya akun gmail, secara default, SSL; dan yahoo! Mail mendukung imap menggunakan SSL juga). Tapi sepertinya tidak ada data yang disinkronkan secara otomatis dari telepon out-of-box yang dienkripsi.

Ini ada pada HTC Desire Z dengan Froyo 2.2 diinstal. Pelajaran: jangan menggunakan ponsel di jaringan nirkabel terbuka tanpa tunneling terenkripsi VPN !!!

Catatan, paket capture diambil dengan menggunakan tshark pada antarmuka ppp0 pada simpul virtual yang menjalankan Debian yang terhubung ke ponsel Android melalui OpenSwan (IPSEC) xl2tpd (L2TP).

PP
sumber
1
Itu mengkhawatirkan. Saya tidak bisa melihat cookie yang lewat dan maju ke sana, apakah mereka dikirim juga?
GAT Diambil
Namun, auth=string berisi apa yang tampaknya mirip dengan cookie, saya menghapusnya sebelum memposting di sini untuk keamanan.
PP.
2
Apakah ini masih merupakan masalah saat ini di Android 2.3.1?
meinzlein
Saya percaya Anda dapat mengatur Android 4 untuk selalu menggunakan koneksi VPN.
intuited
4

Hasil ditangkap pada LG Optimus V (VM670), Android 2.2.1, saham, root, dibeli pada Maret 2011.

Sampai hari ini, satu-satunya permintaan tidak terenkripsi yang dapat saya temukan dalam pcap yang diambil selama sinkronisasi ulang lengkap adalah:

Album Web Picasa

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Itu dia.

Picasa adalah satu-satunya layanan yang saya temukan disinkronkan tidak terenkripsi. Facebook meminta beberapa gambar profil (tetapi tidak memberikan info akun apa pun); Iklan yang diminta Skype; dan TooYoou mengambil gambar spanduk baru. Tidak ada yang berhubungan dengan sinkronisasi, sungguh.

Jadi sepertinya keamanan sinkronisasi Google telah diperketat sedikit. Matikan sinkronisasi Album Web Picasa dan semua data Google Anda harus disinkronkan dalam bentuk terenkripsi.

Pasar

Ini sedikit mengganggu saya:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Kembalinya ini adalah 302 Moved Sementara yang menunjuk ke URL unduhan yang sangat kompleks:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Pengelola unduhan Android memutar balik dan meminta lokasi unduhan itu, meneruskan MarketDAcookie lagi.

Saya tidak tahu apakah ada bahaya keamanan dari cara Market mengunduh APK. Yang terburuk yang dapat saya bayangkan adalah unduhan APK yang tidak terenkripsi membuka kemungkinan intersepsi & penggantian dengan paket jahat, tetapi saya yakin Android memiliki tanda tangan cek untuk mencegahnya.

dgw
sumber
Saya senang bahwa sejak penemuan awal saya bahwa orang lain menganggap ini serius sekarang. Terima kasih! Saya merasa sendirian di padang belantara ketika saya memposting pertanyaan / tanggapan awal. Saya belum benar-benar melakukan pengujian ulang sejak pos asli dan terus melakukan praktik yang lebih aman - tetapi saya senang bahwa orang lain menindaklanjuti hal ini.
PP.
1
Terkadang saya terlihat lucu dari orang-orang karena saya berbicara tentang keamanan seperti biasa. Dan tiga hari setelah memposting ini, saya mengambil kesepakatan Cyber ​​Monday pada Motorola Triumph baru. Masalah layanan pelanggan menunda kedatangannya hingga Rabu lalu, tetapi saya segera mengetahui bahwa ia memiliki masalah besar dengan jaringan yang dijamin EAP. Kuliah saya menggunakan EAP. Jadi saya senang saya melihat ini. Mungkin lebih banyak yang akan datang, karena saya belum menguji Arus. ;)
dgw
Saya hanya ingin mendorong Anda - terdengar seperti orang baik yang cukup peduli dengan keamanan.
PP.