Welche von Android synchronisierten Daten werden verschlüsselt?

Mit der Veröffentlichung des Firesheep-Plug-Ins für Firefox ist es trivial geworden, dass das Surfen auf Websites in offenen Wi-Fi-Netzwerken von Zuhörern Dritter entführt wird.

Android bietet die praktische Auto-Sync-Option. Ich befürchte jedoch, dass meine Daten automatisch synchronisiert werden, wenn ich im örtlichen Café oder Einkaufszentrum mit einem offenen Wi-Fi-Netzwerk verbunden bin.

Werden alle Daten, die Android automatisch synchronisiert, mit SSL oder einem ähnlichen Verschlüsselungsmechanismus verschlüsselt? Werden alle automatisch synchronisierten Daten unverschlüsselt und unverschlüsselt übertragen, damit alle sie hören können?

Update : VOLLSTÄNDIG UNSICHER!!!! Siehe unten!!!!

Das deutsche Heise-Magazin hat einen großartigen Artikel zu dieser Frage. Es ist nur auf Deutsch, aber Sie könnten einen Übersetzungsdienst verwenden. Link: Heise
Google scheint sich endlich um die Daten seiner Nutzer zu kümmern: uni-ulm.de/in/mi/mitarbeiter/koenings/catcher-authtokens.html

Antworten (2)

Hinweis: Beantwortung meiner eigenen Frage, da niemand wusste.

Ich habe eine Paketerfassung durchgeführt, nachdem ich Menu -> Accounts & Sync -> Auto-sync (auch über das Widget „Power Control“ zugänglich) ausgewählt hatte. Was habe ich entdeckt?

Zu meinem Entsetzen (http-Anfragen vom unten angezeigten Telefon):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

und

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Meine Kontakte und Kalender werden unverschlüsselt übertragen ! Ich synchronisiere Google Mail derzeit nicht, daher kann ich auch nicht sagen, ob das unverschlüsselt ist.

Auch die Börsenanwendung (die ein Dienst sein muss, weil ich das Widget nicht angezeigt oder die Anwendung aktiv habe):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Völlig unverschlüsselte Abfrage von Aktienkursen: Stellen Sie sich vor, Sie könnten in Starbucks im Finanzzentrum Ihrer Stadt sitzen und paketschnüffeln, welche Kurse für alle Smartphone-Benutzer um Sie herum wichtig sind.

Andere Elemente, die nicht verschlüsselt wurden:

  • http-Anfrage anhtc.accuweather.com
  • Zeitanfrage an time-nw.nist.gov:13(verwendet nicht einmal NTP)

Die einzigen Daten, die auf meinem Telefon verschlüsselt sind, sind die E-Mail-Konten, die ich mit der K-9-Anwendung eingerichtet habe (weil alle meine E-Mail-Konten SSL verwenden - und glücklicherweise Gmail-Konten sind standardmäßig SSL; und Yahoo! Mail unterstützt die Verwendung von imap auch SSL ). Aber es scheint, dass keine der automatisch synchronisierten Daten vom Out-of-Box-Telefon verschlüsselt sind.

Dies ist auf einem HTC Desire Z mit installiertem Froyo 2.2. Lektion: Verwenden Sie das Telefon nicht in einem offenen drahtlosen Netzwerk ohne VPN-verschlüsseltes Tunneling !!!

Beachten Sie, dass die Paketerfassung mit tshark auf der ppp0-Schnittstelle auf einem virtuellen Knoten mit Debian durchgeführt wird, der über OpenSwan (IPSEC) xl2tpd (L2TP) mit einem Android-Telefon verbunden ist.

Das ist besorgniserregend. Ich kann keine Cookies sehen, die dort hin- und hergeschickt werden, werden sie auch unverschlüsselt gesendet?
Die auth=Zeichenfolge enthielt etwas, das einem Cookie zu ähneln schien, ich habe es jedoch aus Sicherheitsgründen gelöscht, bevor ich es hier gepostet habe.
Ist das immer noch ein aktuelles Problem auf Android 2.3.1?
Ich glaube, Sie können Android 4 so einrichten, dass es immer eine VPN-Verbindung verwendet.

Ergebnisse erfasst auf einem LG Optimus V (VM670), Android 2.2.1, Stock, gerootet, gekauft im März 2011.

Bis heute waren die einzigen unverschlüsselten Anfragen, die ich in einem PCAP finden konnte, das während einer vollständigen Neusynchronisierung aufgenommen wurde:

Picasa-Webalben

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Das ist es.

Picasa war der einzige Dienst, den ich finden konnte, der unverschlüsselt synchronisiert wurde. Facebook hat ein paar Profilbilder angefordert (aber keine Kontoinformationen weitergegeben); Von Skype angeforderte Anzeigen; und TooYouu hat sich ein neues Bannerbild geschnappt. Keines davon bezieht sich wirklich auf die Synchronisierung.

Es sieht also so aus, als ob die Synchronisierungssicherheit von Google ziemlich verschärft wurde. Deaktivieren Sie die Synchronisierung von Picasa-Webalben und alle Ihre Google-Daten sollten in verschlüsselter Form synchronisiert werden.

Markt

Das hat mich etwas gestört:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Die Rückgabe davon ist ein 302 Moved Temporarily, das auf eine hochkomplexe Download-URL verweist:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Der Download-Manager von Android dreht sich um und fordert diesen Download-Speicherort an, wobei er das MarketDACookie erneut übergibt.

Ich weiß nicht, ob es ein Sicherheitsrisiko gibt, wie Market APKs herunterlädt. Das Schlimmste, was ich mir vorstellen kann, ist, dass unverschlüsselte APK-Downloads die Möglichkeit des Abfangens und Ersetzens durch ein bösartiges Paket eröffnen, aber ich bin sicher, dass Android Signaturprüfungen hat, um dies zu verhindern.

Ich bin froh, dass seit meiner anfänglichen Entdeckung, dass andere dies jetzt ernst nehmen. Danke schön! Ich hatte das Gefühl, allein in der Wildnis zu sein, als ich die erste Frage/Antwort postete. Ich habe seit dem ursprünglichen Beitrag keine erneuten Tests durchgeführt und mich an sicherere Praktiken gehalten - aber ich bin froh, dass andere dies weiterverfolgen.
Ich bekomme manchmal komische Blicke von Leuten, weil ich über Sicherheit rede, als wäre es normal. Und drei Tage nachdem ich dies gepostet hatte, schnappte ich mir einen Cyber ​​Monday Deal für ein neues Motorola Triumph. Kundendienstprobleme verzögerten die Ankunft bis letzten Mittwoch, aber ich stellte schnell fest, dass es große Probleme mit EAP-gesicherten Netzwerken gab. Meine Hochschule verwendet EAP. Daher bin ich froh, dass ich mich damit befasst habe. Möglicherweise kommen noch weitere, da ich Currents noch nicht getestet habe. ;)
Ich möchte Sie nur ermutigen - klingen Sie wie ein guter Mensch, der sich genug um Sicherheit kümmert.
Welche von Android synchronisierten Daten werden verschlüsselt?
AntwortenHierDatenschutz-Bestimmungen1y, 0v