Mit der Veröffentlichung des firesheep-Plug-ins für Firefox ist es für das Surfen auf Websites in offenen Wi-Fi-Netzwerken zum Kinderspiel geworden, von Drittanbietern entführt zu werden.
Android bietet die bequeme Auto-Sync-Option. Ich befürchte jedoch, dass meine Daten automatisch synchronisiert werden, wenn ich im örtlichen Café oder Einkaufszentrum mit einem offenen Wi-Fi-Netzwerk verbunden bin.
Werden alle Daten von Android automatisch mit SSL oder einem ähnlichen Verschlüsselungsmechanismus verschlüsselt? Sind alle automatisch synchronisierten Daten unverschlüsselt und werden sie unverschlüsselt übertragen, damit alle mithören können?
Update : VOLLSTÄNDIG UNSICHER !!!! Siehe unten!!!!
Antworten:
Hinweis: Beantwortung meiner eigenen Frage, wie niemand wusste.
Ich habe eine Paketerfassung durchgeführt, nachdem ich Menü -> Accounts & Sync -> Auto-Sync gewählt hatte (auch über das Widget "Power Control" zugänglich). Was habe ich entdeckt?
Zu meinem Entsetzen (http-Anfragen vom Telefon unten angezeigt):
und
Meine Kontakte und mein Kalender werden unverschlüsselt übertragen ! Ich synchronisiere derzeit kein Google Mail, daher kann ich auch nicht sagen, ob das unverschlüsselt ist.
Auch die Börsenanwendung (die ein Dienst sein muss, da das Widget nicht angezeigt wird oder die Anwendung nicht aktiv ist):
Völlig unverschlüsselte Anfrage nach Börsenkursen: Stellen Sie sich vor, Sie könnten in Starbucks im Finanzzentrum Ihrer Stadt sitzen und nach Angeboten schnüffeln, die für alle Smartphone-Nutzer in Ihrer Nähe wichtig waren.
Andere Elemente, die nicht verschlüsselt wurden:
htc.accuweather.com
time-nw.nist.gov:13
(nicht einmal verwenden NTP)Die einzigen Daten, die auf meinem Telefon verschlüsselt werden, sind die E-Mail-Konten, die ich mit der K-9-Anwendung eingerichtet habe (da alle meine E-Mail-Konten SSL verwenden - und zum Glück sind Google Mail-Konten standardmäßig SSL und Yahoo! Mail unterstützt imap using SSL auch). Es scheint jedoch, dass keine der automatisch synchronisierten Daten des Auslieferungs-Telefons verschlüsselt sind.
Dies ist auf einem HTC Desire Z mit Froyo 2.2 installiert. Lektion: Verwenden Sie das Telefon nicht in einem offenen drahtlosen Netzwerk ohne VPN-verschlüsseltes Tunneling !!!
Beachten Sie, dass die Paketerfassung mit tshark auf der ppp0-Schnittstelle auf einem virtuellen Knoten erfolgt, auf dem Debian ausgeführt wird und der über OpenSwan (IPSEC) xl2tpd (L2TP) mit dem Android-Telefon verbunden ist.
quelle
auth=
Zeichenfolge enthielt etwas, das anscheinend einem Cookie ähnelte. Ich habe es jedoch gelöscht, bevor ich es aus Sicherheitsgründen hier veröffentlichte.Die Ergebnisse wurden auf einem LG Optimus V (VM670), Android 2.2.1, vorrätig, gerootet und im März 2011 gekauft.
Bis heute waren die einzigen unverschlüsselten Anfragen, die ich bei einer vollständigen Resynchronisation auf einem PCap finden konnte:
Picasa-Webalben
Das ist es.
Picasa war der einzige Dienst, der unverschlüsselt synchronisiert wurde. Facebook hat ein paar Profilbilder angefordert (aber keine Kontoinformationen übergeben). Von Skype angeforderte Anzeigen; und TooYoou schnappten sich ein neues Bannerbild. Keines davon hat wirklich etwas mit Synchronisation zu tun.
Es sieht also so aus, als ob die Synchronisierungssicherheit von Google deutlich erhöht wurde. Deaktivieren Sie die Synchronisierung von Picasa-Webalben, und alle Ihre Google-Daten sollten in verschlüsselter Form synchronisiert werden.
Markt
Das hat mich ein wenig gestört:
Das Ergebnis ist eine 302 Moved Vorübergehend, die auf eine hochkomplexe Download-URL verweist:
Der Download-Manager von Android dreht sich um und fordert den Download-Speicherort an, wobei der
MarketDA
Cookie erneut übergeben wird.Ich weiß nicht, ob es ein Sicherheitsrisiko gibt, wenn Market APKs herunterlädt. Das Schlimmste, was ich mir vorstellen kann, ist, dass unverschlüsselte APK-Downloads die Möglichkeit eröffnen, abzufangen und durch ein bösartiges Paket zu ersetzen. Ich bin jedoch sicher, dass Android Signaturprüfungen hat, um dies zu verhindern.
quelle