Jakie dane synchronizowane z Androidem są szyfrowane?

24

Wraz z wydaniem wtyczki firesheep dla firefox stało się trywialne, gdy przeglądanie stron internetowych w otwartych sieciach Wi-Fi jest przejmowane przez zewnętrznych słuchaczy.

Android oferuje wygodną opcję automatycznej synchronizacji. Obawiam się jednak, że moje dane mogą być automatycznie synchronizowane, gdy jestem podłączony do otwartej sieci Wi-Fi w lokalnej kawiarni lub centrum handlowym.

Czy wszystkie dane Androida są automatycznie synchronizowane za pomocą SSL lub podobnego mechanizmu szyfrowania? Czy jakieś auto-synchronizowane dane są niezaszyfrowane i przesyłane w sposób jawny, aby wszyscy mogli ich słuchać?

Aktualizacja : CAŁKOWICIE BEZPIECZNA !!!! Patrz poniżej !!!!

PP.
źródło
Niemiecki magazyn Heise ma świetny artykuł na ten temat. To tylko po niemiecku, ale możesz skorzystać z usługi tłumaczenia. link: heise
NES
Wygląda na to, że Google zadba o dane użytkowników: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

Odpowiedzi:

13

Uwaga: odpowiedź na moje pytanie, jak nikt nie wiedział.

Przechwyciłem pakiet po wybraniu Menu -> Konta i synchronizacja -> Autosynchronizacja (dostępna również za pośrednictwem widżetu „Kontrola mocy”). Co odkryłem?

Ku mojemu przerażeniu (żądania HTTP z telefonu wyświetlane poniżej):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

i

GET /proxy/contacts/groups/[email protected]/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Moje kontakty i kalendarz są przesyłane niezaszyfrowane ! Obecnie nie synchronizuję Gmaila, więc nie mogę powiedzieć, czy to też nie jest zaszyfrowane.

Również aplikacja giełdowa (która musi być usługą, ponieważ nie mam wyświetlonego widgetu lub aktywnej aplikacji):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Całkowicie niezaszyfrowane zapytanie ofertowe: pomyśl, możesz usiąść w Starbucks w centrum finansowym swojego miasta i powąchać pakiety, które oferty były ważne dla wszystkich użytkowników smartfonów w twoim otoczeniu ...

Inne elementy, które nie zostały zaszyfrowane:

  • żądanie http do htc.accuweather.com
  • żądanie czasu do time-nw.nist.gov:13(nawet nie używa NTP)

O tylko dane, które są kodowane na moim telefonie są poczta kont skonfigurować z aplikacji K-9 (bo cała moja poczta rachunki używać SSL - i na szczęście gmail konta są domyślnie, SSL, oraz Yahoo! Podpory poczty IMAP stosując SSL też). Ale wygląda na to, że żadna z automatycznie synchronizowanych danych z gotowego telefonu nie jest szyfrowana.

To jest na HTC Desire Z z zainstalowanym Froyo 2.2. Lekcja: nie używaj telefonu w otwartej sieci bezprzewodowej bez tunelowania szyfrowanego VPN !!!

Uwaga, przechwytywanie pakietów odbywa się za pomocą tshark na interfejsie ppp0 w wirtualnym węźle z uruchomionym Debianem podłączonym do telefonu z Androidem przez OpenSwan (IPSEC) xl2tpd (L2TP).

PP.
źródło
1
To martwi Nie widzę żadnych plików cookie przesyłanych tam iz powrotem, czy są one również wysyłane w sposób wyraźny?
GAThrawn
auth=Ciąg zawierał co wydaje się być podobna do cookie, Usunąłem go przed wysłaniem tutaj bezpieczeństwa, jednak.
PP.
2
Czy to wciąż aktualny problem na Androidzie 2.3.1?
meinzlein
Wierzę, że możesz skonfigurować Androida 4 tak, aby zawsze korzystał z połączenia VPN.
intuicyjnie,
4

Wyniki zarejestrowane na telefonie LG Optimus V (VM670), Android 2.2.1, stock, zrootowany, zakupiony w marcu 2011 r.

Na dzień dzisiejszy jedynymi niezaszyfrowanymi żądaniami, które mogłem znaleźć w pcap wykonanym podczas pełnej resynchronizacji, były:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

to jest to!

Picasa była jedyną usługą, jaką mogłem znaleźć, będąc zsynchronizowaną bez szyfrowania. Facebook poprosił o kilka zdjęć profilowych (ale nie przekazał żadnych informacji o koncie); Skype zażądał reklam; i TooYoou złapałeś nowy obraz bannera. Tak naprawdę żadna z nich nie dotyczy synchronizacji.

Wygląda więc na to, że zabezpieczenia synchronizacji Google zostały znacznie zaostrzone. Wyłącz synchronizację Picasa Web Albums, a wszystkie Twoje dane Google powinny być zsynchronizowane w formie zaszyfrowanej.

Rynek

Trochę mnie to niepokoiło:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Zwraca to 302 tymczasowo przeniesionych, które wskazują na bardzo złożony adres URL pobierania:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Menedżer pobierania Androida odwraca się i prosi o lokalizację pobierania, MarketDAponownie przekazując ciasteczko.

Nie wiem, czy istnieje jakiekolwiek zagrożenie bezpieczeństwa związane ze sposobem pobierania plików APK przez Market. Najgorsze, co mogę sobie wyobrazić, to to, że nieszyfrowane pobieranie APK otwiera możliwość przechwycenia i zastąpienia złośliwym pakietem, ale jestem pewien, że Android ma kontrole podpisów, aby temu zapobiec.

dgw
źródło
Cieszę się, że od czasu mojego pierwszego odkrycia inni traktują to poważnie. Dziękuję Ci! Kiedy opublikowałem wstępne pytanie / odpowiedź, czułem się samotny na pustyni. Właściwie nie przeprowadzałem żadnego ponownego testowania od czasu pierwszego postu i trzymałem się bezpieczniejszych praktyk - ale cieszę się, że inni kontynuują to.
PP.
1
Czasem dostaję od ludzi śmieszne spojrzenia, bo mówię o bezpieczeństwie, jakby to było normalne. A trzy dni po opublikowaniu tego, zgodziłem się na ofertę Cyberponiedziałka na nową Motorolę Triumph. Problemy z obsługą klienta opóźniły jej przybycie do ostatniej środy, ale szybko odkryłem, że ma poważne problemy z sieciami zabezpieczonymi przez EAP. Moja uczelnia używa EAP. Cieszę się, że się tym zająłem. Więcej może nadchodzić, ponieważ nie testowałem jeszcze prądów. ;)
dgw
Chcę cię tylko zachęcić - brzmisz jak dobry człowiek, który dba o bezpieczeństwo.
PP.