Wraz z wydaniem wtyczki firesheep dla firefox stało się trywialne, gdy przeglądanie stron internetowych w otwartych sieciach Wi-Fi jest przejmowane przez zewnętrznych słuchaczy.
Android oferuje wygodną opcję automatycznej synchronizacji. Obawiam się jednak, że moje dane mogą być automatycznie synchronizowane, gdy jestem podłączony do otwartej sieci Wi-Fi w lokalnej kawiarni lub centrum handlowym.
Czy wszystkie dane Androida są automatycznie synchronizowane za pomocą SSL lub podobnego mechanizmu szyfrowania? Czy jakieś auto-synchronizowane dane są niezaszyfrowane i przesyłane w sposób jawny, aby wszyscy mogli ich słuchać?
Aktualizacja : CAŁKOWICIE BEZPIECZNA !!!! Patrz poniżej !!!!
Odpowiedzi:
Uwaga: odpowiedź na moje pytanie, jak nikt nie wiedział.
Przechwyciłem pakiet po wybraniu Menu -> Konta i synchronizacja -> Autosynchronizacja (dostępna również za pośrednictwem widżetu „Kontrola mocy”). Co odkryłem?
Ku mojemu przerażeniu (żądania HTTP z telefonu wyświetlane poniżej):
i
Moje kontakty i kalendarz są przesyłane niezaszyfrowane ! Obecnie nie synchronizuję Gmaila, więc nie mogę powiedzieć, czy to też nie jest zaszyfrowane.
Również aplikacja giełdowa (która musi być usługą, ponieważ nie mam wyświetlonego widgetu lub aktywnej aplikacji):
Całkowicie niezaszyfrowane zapytanie ofertowe: pomyśl, możesz usiąść w Starbucks w centrum finansowym swojego miasta i powąchać pakiety, które oferty były ważne dla wszystkich użytkowników smartfonów w twoim otoczeniu ...
Inne elementy, które nie zostały zaszyfrowane:
htc.accuweather.com
time-nw.nist.gov:13
(nawet nie używa NTP)O tylko dane, które są kodowane na moim telefonie są poczta kont skonfigurować z aplikacji K-9 (bo cała moja poczta rachunki używać SSL - i na szczęście gmail konta są domyślnie, SSL, oraz Yahoo! Podpory poczty IMAP stosując SSL też). Ale wygląda na to, że żadna z automatycznie synchronizowanych danych z gotowego telefonu nie jest szyfrowana.
To jest na HTC Desire Z z zainstalowanym Froyo 2.2. Lekcja: nie używaj telefonu w otwartej sieci bezprzewodowej bez tunelowania szyfrowanego VPN !!!
Uwaga, przechwytywanie pakietów odbywa się za pomocą tshark na interfejsie ppp0 w wirtualnym węźle z uruchomionym Debianem podłączonym do telefonu z Androidem przez OpenSwan (IPSEC) xl2tpd (L2TP).
źródło
auth=
Ciąg zawierał co wydaje się być podobna do cookie, Usunąłem go przed wysłaniem tutaj bezpieczeństwa, jednak.Wyniki zarejestrowane na telefonie LG Optimus V (VM670), Android 2.2.1, stock, zrootowany, zakupiony w marcu 2011 r.
Na dzień dzisiejszy jedynymi niezaszyfrowanymi żądaniami, które mogłem znaleźć w pcap wykonanym podczas pełnej resynchronizacji, były:
Picasa Web Albums
to jest to!
Picasa była jedyną usługą, jaką mogłem znaleźć, będąc zsynchronizowaną bez szyfrowania. Facebook poprosił o kilka zdjęć profilowych (ale nie przekazał żadnych informacji o koncie); Skype zażądał reklam; i TooYoou złapałeś nowy obraz bannera. Tak naprawdę żadna z nich nie dotyczy synchronizacji.
Wygląda więc na to, że zabezpieczenia synchronizacji Google zostały znacznie zaostrzone. Wyłącz synchronizację Picasa Web Albums, a wszystkie Twoje dane Google powinny być zsynchronizowane w formie zaszyfrowanej.
Rynek
Trochę mnie to niepokoiło:
Zwraca to 302 tymczasowo przeniesionych, które wskazują na bardzo złożony adres URL pobierania:
Menedżer pobierania Androida odwraca się i prosi o lokalizację pobierania,
MarketDA
ponownie przekazując ciasteczko.Nie wiem, czy istnieje jakiekolwiek zagrożenie bezpieczeństwa związane ze sposobem pobierania plików APK przez Market. Najgorsze, co mogę sobie wyobrazić, to to, że nieszyfrowane pobieranie APK otwiera możliwość przechwycenia i zastąpienia złośliwym pakietem, ale jestem pewien, że Android ma kontrole podpisów, aby temu zapobiec.
źródło