どのAndroid同期データが暗号化されますか?


24

firefox用のfiresheepプラグインのリリースにより、オープンWi-FiネットワークでのWebサイトブラウジングがサードパーティのリスナーによってハイジャックされるのは簡単になりました。

Androidは便利な自動同期オプションを提供します。ただし、地元のコーヒーショップやショッピングモールでオープンWi-Fiネットワークに接続している間、データが自動同期されるのではないかと心配しています。

すべてのデータのAndroid自動同期は、SSLまたは同様の暗号化メカニズムを使用して暗号化されていますか?自動同期されたデータはすべて暗号化されずに平文で送信され、すべての人が聞くことができますか?

更新:完全に安全でない!!!! 下記参照!!!!


German Heise Magazineには、その質問に関する素晴らしい記事があります。ドイツ語のみですが、翻訳サービスを使用できます。リンク:heise
NES

最後に、Googleがユーザーデータを処理するようです:uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
エドゥアルド

回答:


13

注:誰も知らないように自分の質問に答える。

[メニュー]-> [アカウントと同期]-> [自動同期]([電源制御]ウィジェットからもアクセス可能)を選択した後、パケットキャプチャを行いました。何を発見しましたか?

私の恐怖(以下に表示される電話からのhttpリクエスト):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

そして

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

私の連絡先カレンダーが送信されている暗号化されていません!現在、Gmailを同期していないので、Gmailも暗号化されていないかどうかはわかりません。

また、株式市場アプリケーション(ウィジェットが表示されていないか、アプリケーションがアクティブになっていないため、サービスでなければなりません):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

完全に暗号化されていない株価情報のリクエスト:あなたの街の金融センターにあるスターバックスに座って、あなたの周りのすべてのスマートフォンユーザーにとって重要な情報をパケットスニッフィングできると考えてください。

暗号化されていない他のアイテム:

  • へのhttpリクエスト htc.accuweather.com
  • 時間要求time-nw.nist.gov:13(NTPを使用しません)

のみと、デフォルトでは、SSLによって、幸いGmailのアカウントがある-自分の携帯電話上で暗号化されたデータメールはすべて私のメールが使用SSLを占めるので、私は(K-9アプリケーションで設定占めている使用してIMAPヤフーメールサポート! SSLも)。しかし、すぐに使える電話から自動同期されたデータはどれも暗号化されていないようです。

これは、Froyo 2.2がインストールされたHTC Desire Zにあります。レッスン:VPN暗号化トンネリングなしでオープンワイヤレスネットワークで電話を使用しないでください !!!

OpenSwan(IPSEC)xl2tpd(L2TP)を介してAndroidフォンに接続されたDebianを実行している仮想ノード上のppp0インターフェイスでtsharkを使用して取得したパケットキャプチャに注意してください。


1
心配です。そこを行き来するCookieを見ることができませんが、それらもクリアテキストで送信されていますか?
GAThrawn

auth=文字列は、私はしかし、セキュリティのためにここに投稿する前にそれを削除し、クッキーに似たように見えたものを含んでいました。
PP。

2
これはまだAndroid 2.3.1の現在の問題ですか?
meinzlein

常にVPN接続を使用するようにAndroid 4をセットアップできると思います。
直観

4

2011年3月に購入したLG Optimus V(VM670)、Android 2.2.1、ストック、ルート化で取得した結果。

今日の時点で、完全な再同期中に取得されたpcapで見つけることができる暗号化されていないリクエストは次のとおりです。

Picasaウェブアルバム

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

それでおしまい。

Picasaは、暗号化されていない状態で同期される唯一のサービスでした。Facebookはいくつかのプロフィール画像をリクエストしました(ただし、アカウント情報は渡されませんでした)。Skypeは広告をリクエストしました。とTooYoouは新しいバナー画像を取得しました。これらはどれも同期に関係していません。

そのため、Googleの同期セキュリティはかなり厳しくなりました。Picasaウェブアルバムの同期をオフにすると、すべてのGoogleデータが暗号化された形式で同期されます。

市場

これは少し気になりました:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

これの戻り値は、非常に複雑なダウンロードURLを指す302 Moved Temporarilyです。

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Androidのダウンロードマネージャーはすぐに向きを変え、そのダウンロード場所をリクエストし、MarketDA再度Cookie を渡します。

マーケットがAPKをダウンロードする方法にセキュリティ上の危険があるかどうかはわかりません。私が想像できる最悪のことは、暗号化されていないAPKダウンロードは、悪意のあるパッケージによるインターセプトと置換の可能性を開きますが、Androidにはそれを防ぐための署名チェックがあると確信しています。


他の人が今これを真剣に受け止めているという最初の発見以来、私はうれしいです。ありがとうございました!最初の質問/回答を投稿したとき、私は荒野に一人でいると感じました。元の投稿以来、実際には再テストを行っておらず、より安全なプラクティスを続けていますが、他の人がこれをフォローアップしているのはうれしいです。
PP。

1
私はそれが普通のようにセキュリティについて吐き出すので、私は時々人々から面白い外見を得る。そして、これを投稿してから3日後に、新しいMotorola TriumphのCyber​​ Mondayディールを取りました。カスタマーサービスの問題は先週の水曜日まで到着を遅らせましたが、EAPで保護されたネットワークに大きな問題があることがすぐにわかりました。私の大学ではEAPを使用しています。だから私はこれを調べて良かった。まだCurrentsをテストしていないので、もっと来るかもしれません。;)
dgw

私はあなたを奨励したいだけです-セキュリティについて十分に気を配る良い人のように聞こえます。
PP。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.