データが暗号化されているAndroid Sync'dデータは何ですか? -- 2.2-froyo フィールド と sync フィールド と security フィールド と encryption フィールド と privacy フィールド android 関連 問題

What Android sync'd data is encrypted?












24
vote

問題

日本語
FireSheepプラグインのリリース付き

Open Wi-FiネットワークでのWebサイトの閲覧に些細になりました第三者のリスナーによってハイジャックされるために。

Androidは便利なオートシンクオプションを提供します。しかし、地元のコーヒーショップやショッピングモールにある間、私がオープンWi-Fiネットワークに接続されている間、私のデータが自動同期している可能性があることを恐れています。

SSLまたは同様の暗号化メカニズムを使用して暗号化されたすべてのデータAndroid自動同期任意の自動同期のデータが暗号化されており、すべてを聴くのはすべて?

アップデート:完全に不安!!!!下記を参照してください!!!!

英語

With the release of the firesheep plug-in for firefox it has become trivial for website browsing on open Wi-Fi networks to be hijacked by 3rd party listeners.

Android offers the convenient auto-sync option. However I fear that my data may be auto-sync'd while I am connected to an open Wi-Fi network while at the local coffee shop or shopping mall.

Is all the data Android auto-syncs encrypted using SSL or a similar encryption mechanism? Is any auto-sync'd data unencrypted and transmitted in the clear for all to listen in to?

Update: COMPLETELY INSECURE!!!! See below!!!!

              
   
   

回答リスト

13
 
vote
vote
ベストアンサー
 

注:誰も知らないように私自身の質問に答えてください。

メニュー - &gtを選択した後にパケットキャプチャしました。アカウントとアンプ。同期 - >自動同期(「電源制御」ウィジェットを介してアクセス可能)。私は何を発見しましたか?

私の horror (下記の電話からのHTTP要求):

<事前> <コード> htc.accuweather.com0

<事前> <コード> htc.accuweather.com1

マイ連絡先およびカレンダー暗号化に送信されています!私は現在Gmailを同期していませんので、それが暗号化されていないかどうかを言うことができませんでした。

また、在庫市場アプリケーション(ウィジェットが表示されていない、またはアプリケーションがアクティブにしていないため、サービスでなければならない):

<事前> <コード> htc.accuweather.com2

完全未暗号化されていない株価象の要求:ちょうどあなたの街の金融センターでスターバックスに座ることができ、あなたの周りのすべてのスマートフォンユーザーにとってどのような引用符が重要だったか。

暗号化されていなかったその他の項目:

  • 998876655443333
  • へのHTTPリクエスト
  • <コード> 998876655443334 (NTPを使用しない)

についてののみデータは、K-9アプリケーションで設定したメールアカウントです(My Mail AccountsがSSLを使用するため、gmailアカウントはすべてデフォルトではgmailアカウントを使用するため)。 、ssl; Yahoo!MailはSSL を使用してIMAPをサポートしています)。しかし、それはなし外側の電話からの自動同期のデータのは暗号化されています。

これは HTC Desire Z がインストールされています。レッスン: VPN暗号化トンネリングなしでオープンワイヤレスネットワークで電話を使用しない

注意、OpenSwan(IPsec)XL2TPD(L2TP)を介してAndroid Phoneに接続されているDebianを実行しているDebianを実行している仮想ノード上のPPP0インターフェイスでTSHARKを使用して取得したパケットキャプチャ。

 

Note: answering my own question as nobody knew.

I did a packet capture after selecting Menu -> Accounts & Sync -> Auto-sync (also accessible via the "Power Control" widget). What did I discover?

To my horror (http requests from phone displayed below):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip 

and

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1 Accept-Encoding: gzip Authorization: GoogleLogin auth=_hidden_ GData-Version: 3.0 Host: android.clients.google.com Connection: Keep-Alive User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip 

My contacts and calendar are being transmitted unencrypted! I don't currently synchronize gmail so I couldn't say if that is unencrypted either.

Also the stock market application (which must be a service because I don't have the widget displayed or the application active):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1 User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3 Content-Type: text/xml Content-Length: 338 Host: api.htc.go.yahoo.com Connection: Keep-Alive Expect: 100-Continue  <?xml version="1.0" encoding="UTF-8"?> <request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000"> <query id="0" timestamp="0" type="getquotes"> <list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query> </request> 

Completely unencrypted request for stock quotes: just think, you could sit in Starbucks in the financial centre of your city and packet-sniff what quotes were important to all the smart phone users around you..

Other items that were not encrypted:

  • http request to htc.accuweather.com
  • time request to time-nw.nist.gov:13 (doesn't even use NTP)

About the only data that is encrypted on my phone are the mail accounts I set up with the K-9 application (because all my mail accounts use SSL - and fortunately gmail accounts are, by default, SSL; and yahoo! mail supports imap using SSL too). But it seems none of the auto-sync'd data from the out-of-box phone is encrypted.

This is on a HTC Desire Z with Froyo 2.2 installed. Lesson: do not use phone on open wireless network without VPN encrypted tunnelling!!!

Note, packet capture taken by using tshark on ppp0 interface on virtual node running Debian connected to Android phone via OpenSwan (IPSEC) xl2tpd (L2TP).

 
 
       
       
4
 
vote

LG Optimus V(VM670)、Android 2.2.1でキャプチャされた結果、2011年3月に購入された在庫は

今日の時点で、完全な再同期中に撮影されたPCAPで見つけられた唯一の暗号化されていない要求は次のとおりです。

Picasa Webアルバム

 <コード> GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip   

それはそれです。

Picasaは、暗号化されていると思われると思う唯一のサービスでした。 Facebookはカップルプロフィール画像を要求しました(ただし、アカウント情報を渡しませんでした)。 Skypeは広告を要求しました。そして恐竜は新しいバナーイメージをつかみました。これらのどれも同期、実際には関係ありません。

だから、Googleの同期セキュリティがかなり厳しくなっているように見えます。 同期をオフにするPicasa WebアルバムとすべてのGoogleデータは、暗号化された形式で同期されるべきです。

市場

これは私を少し悩ませました:

 <コード> htc.accuweather.com6  

これの戻りは、非常に複雑なダウンロードURLを指す302移動した302です。

<事前> <コード> HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0 &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped> &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked

Androidのダウンロードマネージャは、右右に回転し、ダウンロード場所を渡し、<コード> 99887766544338 cookieを渡します。

市場のダウンロード方法からのセキュリティ上の危険があるかどうかわかりません。想像できる最悪の場合、暗号化されていないAPKのダウンロードは傍受&AMPの可能性を開くことです。悪意のあるパッケージでの交換ですが、Androidがそれを防ぐための署名チェックがあると確信しています。

 

Results captured on an LG Optimus V (VM670), Android 2.2.1, stock, rooted, purchased in March 2011.

As of today, the only unencrypted requests I could find in a pcap taken during a complete resync were:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u     &visibility=visible&kind=album HTTP/1.1 GData-Version: 2 Accept-Encoding: gzip Authorization: GoogleLogin auth=<snipped> If-None-Match: <snipped; don't know if it's sensitive info> Host: picasaweb.google.com Connection: Keep-Alive User-Agent: Cooliris-GData/1.0; gzip 

That's it.

Picasa was the only service I could find being synced unencrypted. Facebook requested a couple profile images (but didn't pass any account info); Skype requested ads; and TooYoou grabbed a new banner image. None of those relate to sync, really.

So it looks like Google's syncing security has been tightened quite a bit. Turn off syncing Picasa Web Albums and all of your Google data should be synced in encrypted form.

Market

This bothered me a little:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>     &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1 Cookie: MarketDA=<snipped> Host: android.clients.google.com Connection: Keep-Alive User-Agent: AndroidDownloadManager 

The return of this is a 302 Moved Temporarily that points to a highly complex download URL:

HTTP/1.1 302 Moved Temporarily Cache-control: no-cache Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com           /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0           &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>           &signature=<snipped>.<snipped>&key=am2 Pragma: no-cache Content-Type: text/html; charset=UTF-8 Date: Fri, 25 Nov 2011 08:37:09 GMT X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block Server: GSE Transfer-Encoding: chunked 

Android's download manager turns right around and requests that download location, passing the MarketDA cookie again.

I don't know if there's any security danger from how Market downloads APKs. The worst I can imagine is that unencrypted APK downloads open up the possibility of interception & replacement with a malicious package, but I'm sure Android has signature checks to prevent that.

 
 
     
     

関連する質問

2  Android 10の「最近のファイル」からファイルを削除する方法?  ( How to remove file from recent files on android 10 ) 
ストックのファイルアプリで、Android 10(ピクセル2 XL)の「最近」カテゴリがあります。プライバシー上の理由から、このカテゴリのファイルを削除したいと思いました。ファイル名でこのファイルを検索した限りでは、システムに存在していないようですが、それでも...

3  連絡先リストにアクセスすることなく電話をかけることは可能ですか?  ( Is it possible to make a call without having access to the contacts list ) 
電話の連絡先にアクセスすることなく電話をかけることは可能ですか?即ち友達に私の電話を使わせて、私の連絡先をアクセスするために私の連絡先をロックさせてください - 必ずしも連絡先にはない任意の数に電話をかける方法はありますか? ...

24  データが暗号化されているAndroid Sync'dデータは何ですか?  ( What android syncd data is encrypted ) 
FireSheepプラグインのリリース付き Open Wi-FiネットワークでのWebサイトの閲覧に些細になりました第三者のリスナーによってハイジャックされるために。 Androidは便利なオートシンクオプションを提供します。しかし、地元のコーヒーショップ...

90  なぜ多くのアプリケーションでは電話の状態とアイデンティティを読む権限が必要ですか?  ( Why do so many applications require permission to read the phone state and ident ) 
なぜ多くのアプリケーションでは電話の状態とIDを読む権限が必要ですか。具体的には: <事前> <コード> 9988776655443330 例えばQuickPediaはウィキペディアポータルですが、電話にアクセスしたいです。このための説明は何ですか? ...

6  アプリロッカーアプリはなぜ多くの権限が必要ですか?私は安全ですか?  ( Why do app locker apps need so many permissions am i safe ) 
私はアプリをパスワードに保護しようとしています、そしてそれはApp Lockersのためのアプリによってアプリケーションによって異なるようです。 なぜそれらの多くが完全な電話アクセスを必要とするのですか? https://市場のような人気があり、よく知ら...

2  私の連絡先は私のAndroidで暗号化されていますか?  ( Are my contacts encrypted on my android ) 
私の連絡先は私のAndroidで暗号化されていて、どこにいますか? どのように私はそれらにアクセスできますか?パブリックAPI? (PCから) ...

9  CyanogenMod 12.1を実行しているデバイスをどのように暗号化しますか?  ( How do you encrypt your device running cyanogenmod 12 1 ) 
cyanogenmod 12と12.1 「暗号化電話」の設定は壊れていて、かなりの間に行われています。他の方法で電話を暗号化する方法はありますか?暗号化/データディレクトリを使用してCMを電話機にサイドロードできますか?データを安全に保つための他の方法はあり...

2  4.4.4で実行することができますか?  ( Can app ops run on 4 4 4 ) 
私は " App Ops "スターターアプリ。それらのいずれかを実行すると、「残念ながら設定が停止した」と言ってダイアログが表示されます。そして私の唯一の選択は「OK」をタップすることです。だから、私はまだアプリOPS設定に到達できなかった。 しかし、このアプ...

26  新しいChrome Updateにカメラとオーディオの録音を使用する権限が必要なのはなぜですか。  ( Why does the new chrome update want the permission to use my camera and audio re ) 
真剣に、それはカメラとオーディオの録音を使うことができると述べています。 AndroidのChromeがそれらの権限を要求しているのはなぜですか? 私は心配するべきですか? (私自身の強調している) ...

0  Android / Dataフォルダに保存されている壁紙キャッシュがハッキングされているのは可能ですか? (根付かない)  ( It that possible for the wallpaper cache saved in android data folder being hac ) 
私のボーイフレンドは私と冗談を言って、私のプライベート写真を壁紙として設定していました。 写真を削除しましたが、壁紙はまだそこに残っています... ネット上の情報を閲覧した後、壁紙が応援後にのみアクセスできるフォルダに保存されていることがわかりました。 壁紙...




© 2022 cndgn.com All Rights Reserved. Q&Aハウス 全著作権所有