Welche mit Android synchronisierten Daten werden verschlüsselt?

24

Mit der Veröffentlichung des firesheep-Plug-ins für Firefox ist es für das Surfen auf Websites in offenen Wi-Fi-Netzwerken zum Kinderspiel geworden, von Drittanbietern entführt zu werden.

Android bietet die bequeme Auto-Sync-Option. Ich befürchte jedoch, dass meine Daten automatisch synchronisiert werden, wenn ich im örtlichen Café oder Einkaufszentrum mit einem offenen Wi-Fi-Netzwerk verbunden bin.

Werden alle Daten von Android automatisch mit SSL oder einem ähnlichen Verschlüsselungsmechanismus verschlüsselt? Sind alle automatisch synchronisierten Daten unverschlüsselt und werden sie unverschlüsselt übertragen, damit alle mithören können?

Update : VOLLSTÄNDIG UNSICHER !!!! Siehe unten!!!!

PP.
quelle
Das deutsche Heise Magazin hat einen großartigen Artikel zu dieser Frage. Es ist nur in Deutsch, aber Sie könnten einen Übersetzungsdienst in Anspruch nehmen. link: heise
NES
Es sieht so aus, als würde Google sich endlich um die Daten seiner Nutzer kümmern: uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Eduardo

Antworten:

13

Hinweis: Beantwortung meiner eigenen Frage, wie niemand wusste.

Ich habe eine Paketerfassung durchgeführt, nachdem ich Menü -> Accounts & Sync -> Auto-Sync gewählt hatte (auch über das Widget "Power Control" zugänglich). Was habe ich entdeckt?

Zu meinem Entsetzen (http-Anfragen vom Telefon unten angezeigt):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

und

GET /proxy/contacts/groups/[email protected]/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Meine Kontakte und mein Kalender werden unverschlüsselt übertragen ! Ich synchronisiere derzeit kein Google Mail, daher kann ich auch nicht sagen, ob das unverschlüsselt ist.

Auch die Börsenanwendung (die ein Dienst sein muss, da das Widget nicht angezeigt wird oder die Anwendung nicht aktiv ist):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Völlig unverschlüsselte Anfrage nach Börsenkursen: Stellen Sie sich vor, Sie könnten in Starbucks im Finanzzentrum Ihrer Stadt sitzen und nach Angeboten schnüffeln, die für alle Smartphone-Nutzer in Ihrer Nähe wichtig waren.

Andere Elemente, die nicht verschlüsselt wurden:

  • http Anfrage an htc.accuweather.com
  • Zeitanforderungtime-nw.nist.gov:13 (nicht einmal verwenden NTP)

Die einzigen Daten, die auf meinem Telefon verschlüsselt werden, sind die E-Mail-Konten, die ich mit der K-9-Anwendung eingerichtet habe (da alle meine E-Mail-Konten SSL verwenden - und zum Glück sind Google Mail-Konten standardmäßig SSL und Yahoo! Mail unterstützt imap using SSL auch). Es scheint jedoch, dass keine der automatisch synchronisierten Daten des Auslieferungs-Telefons verschlüsselt sind.

Dies ist auf einem HTC Desire Z mit Froyo 2.2 installiert. Lektion: Verwenden Sie das Telefon nicht in einem offenen drahtlosen Netzwerk ohne VPN-verschlüsseltes Tunneling !!!

Beachten Sie, dass die Paketerfassung mit tshark auf der ppp0-Schnittstelle auf einem virtuellen Knoten erfolgt, auf dem Debian ausgeführt wird und der über OpenSwan (IPSEC) xl2tpd (L2TP) mit dem Android-Telefon verbunden ist.

PP.
quelle
1
Das ist besorgniserregend. Ich kann dort keine Kekse sehen, die hin und her gehen. Werden sie auch im Klartext gesendet?
GAThrawn
Die auth=Zeichenfolge enthielt etwas, das anscheinend einem Cookie ähnelte. Ich habe es jedoch gelöscht, bevor ich es aus Sicherheitsgründen hier veröffentlichte.
PP.
2
Ist das immer noch ein aktuelles Problem auf Android 2.3.1?
Meinzlein
Ich glaube, Sie können Android 4 so einrichten, dass immer eine VPN-Verbindung verwendet wird.
Intuited
4

Die Ergebnisse wurden auf einem LG Optimus V (VM670), Android 2.2.1, vorrätig, gerootet und im März 2011 gekauft.

Bis heute waren die einzigen unverschlüsselten Anfragen, die ich bei einer vollständigen Resynchronisation auf einem PCap finden konnte:

Picasa-Webalben

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Das ist es.

Picasa war der einzige Dienst, der unverschlüsselt synchronisiert wurde. Facebook hat ein paar Profilbilder angefordert (aber keine Kontoinformationen übergeben). Von Skype angeforderte Anzeigen; und TooYoou schnappten sich ein neues Bannerbild. Keines davon hat wirklich etwas mit Synchronisation zu tun.

Es sieht also so aus, als ob die Synchronisierungssicherheit von Google deutlich erhöht wurde. Deaktivieren Sie die Synchronisierung von Picasa-Webalben, und alle Ihre Google-Daten sollten in verschlüsselter Form synchronisiert werden.

Markt

Das hat mich ein wenig gestört:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Das Ergebnis ist eine 302 Moved Vorübergehend, die auf eine hochkomplexe Download-URL verweist:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Der Download-Manager von Android dreht sich um und fordert den Download-Speicherort an, wobei der MarketDACookie erneut übergeben wird.

Ich weiß nicht, ob es ein Sicherheitsrisiko gibt, wenn Market APKs herunterlädt. Das Schlimmste, was ich mir vorstellen kann, ist, dass unverschlüsselte APK-Downloads die Möglichkeit eröffnen, abzufangen und durch ein bösartiges Paket zu ersetzen. Ich bin jedoch sicher, dass Android Signaturprüfungen hat, um dies zu verhindern.

dgw
quelle
Ich bin froh, dass seit meiner ersten Entdeckung andere dies jetzt ernst nehmen. Vielen Dank! Ich fühlte mich allein in der Wildnis, als ich die erste Frage / Antwort veröffentlichte. Ich habe seit dem ursprünglichen Posting keine weiteren Tests durchgeführt und mich an sicherere Praktiken gehalten - aber ich bin froh, dass andere dies weiterverfolgen.
PP.
1
Ich bekomme manchmal komische Blicke von Leuten, weil ich über Sicherheit spucke, als wäre es normal. Und drei Tage nachdem ich das gepostet hatte, habe ich einen Cyber ​​Monday-Deal für ein neues Motorola Triumph abgeschlossen. Probleme mit dem Kundenservice verzögerten die Ankunft bis zum letzten Mittwoch, aber ich stellte schnell fest, dass es große Probleme mit EAP-gesicherten Netzwerken gibt. Mein College verwendet EAP. Ich bin froh, dass ich mir das angeschaut habe. Weitere könnten folgen, da ich Currents noch nicht getestet habe. ;)
dgw
Ich möchte Sie nur ermutigen - klingen Sie wie ein guter Mensch, der sich genug um Sicherheit kümmert.
PP.