什么Android Sync'd数据被加密? -- 2.2-froyo 领域 和 sync 领域 和 security 领域 和 encryption 领域 和 privacy 领域 android 相关 的问题

What Android sync'd data is encrypted?


24
vote

问题

中文

释放 firefex插件for firefox 它已成为在开放Wi-Fi网络上浏览网站浏览的微不足道被第三方听众劫持。

Android提供方便的自动同步选项。但是,我担心我的数据可能是自动同步的,而我在当地咖啡店或购物中心连接到开放的Wi-Fi网络时。

是使用SSL或类似加密机制加密的所有数据Android自动同步?是任何自动同步数据未加入和传输,以便所有人倾听?

更新:完全不安全!!!!见下文!!!!

英文原文

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

回答列表

13
 
vote
vote
最佳答案
 

注意:回答我自己的问题,因为没有人知道。

在选择菜单后我做了一个数据包捕获 - >账户& sync - >自动同步(也可通过"电源控制" 窗口小部件访问)。我发现了什么?

到我的恐怖(来自下面的手机的HTTP请求):

  GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip   

  GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip   

我的联系人日历正在传输未加密!我目前不同步gmail,所以我不能说如果是没有加密。

还有股票市场应用程序(必须是服务,因为我没有显示窗口小部件或应用程序活动):

  POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request>   

完全对股票的未加密请求:只想,您可以坐在您所在城市金融中心的星巴克和包嗅的东西,这些报价对您周围的所有智能手机用户都很重要。

未加密的其他项目:

  • http请求 htc.accuweather.com
  • 时间请求 time-nw.nist.gov:13 (甚至没有使用ntp)

关于我手机上加密的数据是我与K-9应用程序设置的邮件帐户(因为我的所有邮件帐户都使用SSL - 且幸运的是Gmail帐户默认情况下,SSL;和雅虎!邮件支持使用SSL )。但似乎从箱子外部手机加密了自动同步数据的 none

这是在一个 htc desire z 安装了froyo 2.2。课程:不要在没有VPN加密隧道的Open Wireless网络上使用电话 !!!

注意,通过OpenSwan(IPsec)XL2TPD(L2TP)运行Debian的虚拟节点上的PPP0接口上使用Tshark拍摄的数据包捕获。

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

在2011年3月的LG Optimus v(VM670),Android 2.2.1,股票,植根铁,股票,植根于3月份购买。

as今天,我在完整的重新同步期间拍摄的PCAP中唯一的未加密请求是:

Picasa网格相册

  GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip   

这就是它。

p> picasa是我唯一可以发现同步未加密的服务。 Facebook要求夫妇配置文件图片(但未通过任何帐户信息); Skype请求广告;而tooyoou抓住了一个新的横幅形象。没有人与同步相关,真的。

所以它看起来像Google的同步安全已经收紧了一点。 关闭同步Picasa网格相册以及您的所有Google数据应该以加密的形式同步。

市场

这让我困扰了一下:

  GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager   

返回是一个302暂时移动,指向高度复杂的下载URL:

  HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked   

Android的下载管理器右侧转动并请求下载位置,通过 MarketDA再次传递 cookie。

我不知道市场如何下载APKS的安全危险。最糟糕的是我可以想象的是,未加密的APK下载开辟了拦截&amp的可能性;用恶意包替换,但我确定Android有签名检查以防止。

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

相关问题

0  是否有可能通过PC从Google Store安装/更新应用程序?  ( Is it possible to install update apps from google store via pc ) 
几个月前,我被迫卸载一些应用程序以更新其他应用程序。最近我丢失了通过Gmail接收电子邮件通知的能力(然而,搜索工作)。所有因为垃圾应用程序Google Play和Google Play服务,不断增长。我计划完全卸载它们,至少重新恢复我手机前期前2年的功能。 但是,如果我必须进行一些应用程序的更新,或者我想安装新的应...

3  同步Exchange 2010说明,任务和提醒  ( Sync exchange 2010 notes tasks and reminders ) 
我的HTC令人难以置信的电话运行Android 2.2,并能够在工作中使用Exchange 2010服务器同步电子邮件,日历和联系人。 但是,"任务" ,"注释" 和"电子邮件" 提醒,不同时出于框中。 我一直在寻找,但似乎无法在Google Play商店找到任何轻量级应用程序,可以填补这个差距。 有谁知道这样的产品...

6  如何让滚动条始终可见?  ( How can i make scroll bars always visible ) 
Android隐藏滚动条,除非窗口正在积极滚动。这使得很难判断是否可以在没有实际尝试的情况下滚动窗口。有没有办法迫使Android在有东西滚动时始终显示滚动条? 我有一个霹雳,运行Android 2.2(Froyo)。 ...

0  我如何判断哪个版本的伏都布安装?  ( How can i tell which version of voodoo to install ) 
我想在手机上安装voodoo lagfix,我看到froyo on 下载网站: stock+Voodoo-Froyo-GT-I9000-XWJS3.tar 19-Mar-2011 03:18 5.7M stock+Voodoo-Froyo-GT-I9000-XWJS5.tar 19-Mar-...

4  从Eclair到Froyo升级未撤消的欲望  ( Upgrading unrevoked desire from eclair to froyo ) 
我目前正在运行我的HTC欲望2.1(从英国品牌的O2,如果它有所不同),它已通过 unroveed 。我刚刚提示我通过OTA更新将其升级到我假设的是2.2。我很想这样做,但我假设这将导致我失去我的根。缺陷似乎现在说它支持2.2以及2.1所以它只是做一个OTA更新并重新生根的问题,并与未撤销一起重新生根 此外,我以前从...

2  复制壁纸的地方?  ( Where to copy wallpapers ) 
我使用PC下载了一些手机的壁纸。现在,我应该在哪个文件夹中存储它们,以便在壁纸库中可见? ...

8  为什么我的Android短信(SMS)需要几分钟才能发送?  ( Why do my android text messages sms take minutes to send ) 
我最近买了我的第一个Android手机,HTC Desire Z与Android 2.2(Froyo)。 我使用AthG2SMS Android应用程序导入所有旧诺基亚E71 SMS(将我的诺基亚CSV文本文件转换为UNIX结束格式后)。导入所有2,000条传入消息和200传出消息。 当我尝试发送消息时,我的手机几乎...

9  是否可以将来自不同来源的联系人合并并将其上传到Gmail?  ( Is it possible to merge contacts from different sources and upload them to gmail ) 
我想合并来自不同来源的联系人 - 即,从手机,来自SIM卡和我的Gmail帐户的导入联系人 - 并从我的Gmail帐户上传我的Gmail帐户上的最终联系人。 例如,我知道某人使用我的Gmail帐户的邮件地址,我从SIM卡导入他的电话号码。我的目标是更新Gmail账户上的联系人,以便在互联网上进行手机(这是完美的备份)...

5  Android 2.2与早期版本的性能  ( Performance of android 2 2 vs earlier versions ) 
过去我没有切换到Android的一个原因是当我尝试运行它的手机时,它似乎似乎迟钝。我看到谷歌声称在以前的版本上为5倍,但这些数字基于基准,而不是真实的使用。 是否有关于Android 2.2如何影响典型智能手机使用情况的任何信息。不仅拨打电话 - 滚动长联系人列表,阅读电子邮件,浏览网络,导航相册,玩游戏?理想情况下...

59  我的手机什么时候可以获得Android 2.2更新(Froyo)?  ( When will my phone get the android 2 2 update froyo ) 
Android 2.2(Froyo,"Frobozen Yogurt" )于2010年夏季发布,但并非所有将获得此更新的设备已收到。每个制造商和运营商都需要在可以正式释放之前添加自定义修改。 另见: 我的手机什么时候可以获得Android 2.3更新(Gingerbread)? ...

5  如果我root设备可以升级到Froyo而不等待操作员发布?  ( If i root the device can i upgrade to froyo without waiting for the operators r ) 
我有一个三星Galaxy S,目前等待<罢工,无限期为操作者拉出它的手指和释放它的臃肿 Edition的Froyo 。 如果我使用指令root设备在这里,将这使我能够通过kies ugrodo,或者我必须通过其他方法升级吗? ...

6  为什么新照片花了这么长时间才能在画廊上出现?  ( Why do new photos take so long to show up in the gallery ) 
如果我拍摄一些照片,然后转到画廊应用程序,那些照片并不总是立即出现。我试过导致画廊刷新,但图像根本不会出现超过15分钟。我可以再次打开相机应用程序并浏览它们,所以我知道他们已经存储了。 有没有办法消除使用相机拍摄照片之间的延迟,并且当它出现在画廊时? ...

7  有没有办法在Google地图导航中展示州际住宅区?  ( Is there a way to display interstate rest areas on google maps navigation ) 
我有几个实例在导航w / moto droid时,此信息将有用,但我无法弄清楚在谷歌地图导航中获得州际公路(美国)休息区的方法。他们是否与其他东西分组?叫做别的? 我正在考虑向谷歌建议这一点,但我想确保它还没有在那里并错过它。 ...

20  什么是安全模式?  ( What is safe mode ) 
我的USC"欲望" 在前几天锁定了。我安装了Android 2.2。它刚刚一遍又一遍地重新启动飞溅屏幕。作为一个旧的Mac用户,我认为一些"键命令" 可能会停止。所以我尝试在启动时持有主键,将其带到"安全模式" 。 ANE更多重启 它再次运行。 是有一个日志我可以看看看看问题可能是什么吗?什么可以在"安全模式" 中做...

4  管理浏览器中的特定cookie?  ( Manage specific cookies in browser ) 
我想在Android浏览器中管理饼干,只需"清除cookie数据" 。 理想情况下,我想要做什么,可以从域名排序的列表中删除单个cookie,如桌面上的Firefox。 至少,我希望能够清除每个域的cookie,因为我可以管理存储和amp;每个域的位置访问。 有没有办法做到这一点? 编辑 用根的手机怎么样? ...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.