データが暗号化されているAndroid Sync'dデータは何ですか? -- 2.2-froyo フィールド と sync フィールド と security フィールド と encryption フィールド と privacy フィールド android 関連 問題

What Android sync'd data is encrypted?


24
vote

問題

日本語
FireSheepプラグインのリリース付き

Open Wi-FiネットワークでのWebサイトの閲覧に些細になりました第三者のリスナーによってハイジャックされるために。

Androidは便利なオートシンクオプションを提供します。しかし、地元のコーヒーショップやショッピングモールにある間、私がオープンWi-Fiネットワークに接続されている間、私のデータが自動同期している可能性があることを恐れています。

SSLまたは同様の暗号化メカニズムを使用して暗号化されたすべてのデータAndroid自動同期任意の自動同期のデータが暗号化されており、すべてを聴くのはすべて?

アップデート:完全に不安!!!!下記を参照してください!!!!

英語

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

回答リスト

13
 
vote
vote
ベストアンサー
 

注:誰も知らないように私自身の質問に答えてください。

メニュー - &gtを選択した後にパケットキャプチャしました。アカウントとアンプ。同期 - >自動同期(「電源制御」ウィジェットを介してアクセス可能)。私は何を発見しましたか?

私の horror (下記の電話からのHTTP要求):

<事前> <コード> htc.accuweather.com0

<事前> <コード> htc.accuweather.com1

マイ連絡先およびカレンダー暗号化に送信されています!私は現在Gmailを同期していませんので、それが暗号化されていないかどうかを言うことができませんでした。

また、在庫市場アプリケーション(ウィジェットが表示されていない、またはアプリケーションがアクティブにしていないため、サービスでなければならない):

<事前> <コード> htc.accuweather.com2

完全未暗号化されていない株価象の要求:ちょうどあなたの街の金融センターでスターバックスに座ることができ、あなたの周りのすべてのスマートフォンユーザーにとってどのような引用符が重要だったか。

暗号化されていなかったその他の項目:

  • 998876655443333
  • へのHTTPリクエスト
  • <コード> 998876655443334 (NTPを使用しない)

についてののみデータは、K-9アプリケーションで設定したメールアカウントです(My Mail AccountsがSSLを使用するため、gmailアカウントはすべてデフォルトではgmailアカウントを使用するため)。 、ssl; Yahoo!MailはSSL を使用してIMAPをサポートしています)。しかし、それはなし外側の電話からの自動同期のデータのは暗号化されています。

これは HTC Desire Z がインストールされています。レッスン: VPN暗号化トンネリングなしでオープンワイヤレスネットワークで電話を使用しない

注意、OpenSwan(IPsec)XL2TPD(L2TP)を介してAndroid Phoneに接続されているDebianを実行しているDebianを実行している仮想ノード上のPPP0インターフェイスでTSHARKを使用して取得したパケットキャプチャ。

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

LG Optimus V(VM670)、Android 2.2.1でキャプチャされた結果、2011年3月に購入された在庫は

今日の時点で、完全な再同期中に撮影されたPCAPで見つけられた唯一の暗号化されていない要求は次のとおりです。

Picasa Webアルバム

 <コード> GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip   

それはそれです。

Picasaは、暗号化されていると思われると思う唯一のサービスでした。 Facebookはカップルプロフィール画像を要求しました(ただし、アカウント情報を渡しませんでした)。 Skypeは広告を要求しました。そして恐竜は新しいバナーイメージをつかみました。これらのどれも同期、実際には関係ありません。

だから、Googleの同期セキュリティがかなり厳しくなっているように見えます。 同期をオフにするPicasa WebアルバムとすべてのGoogleデータは、暗号化された形式で同期されるべきです。

市場

これは私を少し悩ませました:

 <コード> htc.accuweather.com6  

これの戻りは、非常に複雑なダウンロードURLを指す302移動した302です。

<事前> <コード> HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0 &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped> &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked

Androidのダウンロードマネージャは、右右に回転し、ダウンロード場所を渡し、<コード> 99887766544338 cookieを渡します。

市場のダウンロード方法からのセキュリティ上の危険があるかどうかわかりません。想像できる最悪の場合、暗号化されていないAPKのダウンロードは傍受&AMPの可能性を開くことです。悪意のあるパッケージでの交換ですが、Androidがそれを防ぐための署名チェックがあると確信しています。

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

関連する質問

2  壁紙をコピーする場所は?  ( Where to copy wallpapers ) 
私はPCを使って私の電話のためにいくつかの壁紙をダウンロードしました。 さて、私のAndroid携帯電話のどのフォルダに、壁紙ギャラリーに表示されるためにそれらを保存すべきか? ...

0  PCを介してGoogleストアからアプリをインストール/更新することは可能ですか?  ( Is it possible to install update apps from google store via pc ) 
数ヶ月前は、他のものを更新するために一部のアプリをアンインストールすることを余儀なくされました。最近、Gmailを介して電子メール通知を受け取る能力を失いました(ただし、検索作品)。ゴミアプリのためにすべてGoogle PlayとGoogle Playサービス...

7  Google MapsナビゲーションでInterStateの残り区域を表示する方法はありますか?  ( Is there a way to display interstate rest areas on google maps navigation ) 
この情報がw / moto droidをナビゲートするときに役立つ場合がありましたが、私はGoogle MapsナビゲーションのInterstate(USA)の休憩所になる方法を理解することができませんでした。彼らは他の何かに集めていますか?何か他のものを呼び...

6  Galleryに現れるのに新しい写真を撮るのはなぜですか?  ( Why do new photos take so long to show up in the gallery ) 
写真を撮ってからギャラリーアプリに移動すると、それらの写真は常にすぐに表示されません。私はギャラリーを更新するようにしましたが、画像は単に15分以上表示されない。私は再びカメラアプリを開いてそれらを閲覧することができるので、彼らが保存されていることを私は知って...

4  エクレアからフロヨーへの望みのない欲求をアップグレードする  ( Upgrading unrevoked desire from eclair to froyo ) 
私は現在 revoked 。私は今、OTAアップデートを介して私が想定しているものにアップグレードするように求められました。私はこれをやりたいのですが、私はこれが私が私の根を失う原因となるでしょう。未保険は、2.2だけでなく2.1をサポートしていると言っている...

4  ブラウザで特定のクッキーを管理しますか?  ( Manage specific cookies in browser ) 
Cookie BrowserのCookieを「クリアクッキーデータ」を超えて管理したいと思います。 私がやりたいこと、理想的には、デスクトップ上のFirefoxのように、ドメイン名によってソートされたリストから個々のクッキーを削除する機能があります。 少なく...

5  私がデバイスをrootした場合、オペレータのリリースを待たずにFroyoにアップグレードできますか?  ( If i root the device can i upgrade to froyo without waiting for the operators r ) 
私は現在を押して、を引っ張っての漂流 froyoの release を解放する。 手順 、意志それは私がkiesの上でフロヨーに急上昇させることを可能にします、あるいは他の方法を通してアップグレードする必要がありますか? ...

20  セーフモードとは何ですか?  ( What is safe mode ) 
私のUSC「欲望」は先日ロックされました。私はAndroid 2.2がインストールされています。それはちょうどスプラッシュスクリーンに何度も再起動し続けました。古いMacユーザーであることは、「キーコマンド」が停止する可能性があると思いました。だから私はそれが...

59  私の電話はいつAndroid 2.2アップデート(Froyo)を入手しますか?  ( When will my phone get the android 2 2 update froyo ) 
Android 2.2(Froyo、Frooyo、Froozen Yogurt ")は2010年夏にリリースされましたが、このアップデートがまだ受け取っているすべてのデバイスはそれを受け取っていません。各製造業者およびキャリアは、正式に解放される前にカスタム...

0  どのバージョンのVoodooがインストールするかを教えてください。  ( How can i tell which version of voodoo to install ) 
私は私の携帯電話にVoodoo Lagfixをインストールしたいのですが、ダウンロードサイト: <事前> <コード> ss0 しかし、これらのバージョンのどれも私の電話に合っているようです。これは<コード> Settings -> About に示すものです...

6  スクロールバーを常に見えるようにするにはどうすればよいですか。  ( How can i make scroll bars always visible ) 
Androidウィンドウが積極的にスクロールされていない限り、スクロールバーを隠します。これにより、実際に試してもウィンドウをスクロールできるかどうかを判断できます。スクロールするものがあるときに常にスクロールバーを表示するようにAndroidを強制する方法...

3  Sync Exchange 2010注意事項、タスク、およびリマインダー  ( Sync exchange 2010 notes tasks and reminders ) 
My HTC Iniredible S PhoneはAndroid 2.2を実行し、電子メール、カレンダー、連絡先をWorkで同期させる機能を備えています。 タスク、メモ、および電子メールのリマインダーは、箱外に同期されていません。 私は探していましたが、こ...

8  私のAndroidテキストメッセージ(SMS)が送信に数分かかるのはなぜですか?  ( Why do my android text messages sms take minutes to send ) 
私は最近、私の最初のAndroid携帯電話、HTC Desirs ZをAndroid 2.2(Froyo)で購入しました。 私はATHG2SMS Androidアプリを使用して、私の古いNokia E71 SMSSをすべてインポートしました(私のNokia C...

9  異なる情報源から連絡先をマージしてGmailにアップロードすることは可能ですか?  ( Is it possible to merge contacts from different sources and upload them to gmail ) 
シムカードから、電話からの輸入連絡先、および私のGmailアカウントからの連絡先をマージしたいと思います。 例えば、私のGmailアカウントを使用して誰かのメールアドレスを知っています、そして私はSIMカードから彼の電話番号をインポートします。私の目標は、イン...

5  Android 2.2対以前のバージョンのパフォーマンス  ( Performance of android 2 2 vs earlier versions ) 
私が過去にAndroidに切り替えていない理由は、それを実行する電話を試したときにそれが低迷するように思われたということです。 Googleがパフォーマンスの向上以前のバージョンを介して4倍から5倍のパフォーマンスの向上しかし、それらの数は実際の使用に関わらず...