Hangi Android senkronize edilmiş veriler şifrelenir?

Firefox'a yönelik firesheep eklentisinin piyasaya sürülmesiyle birlikte, açık Wi-Fi ağlarında gezinen web sitelerinin 3. parti dinleyicileri tarafından kaçırılması önemsiz hale geldi.

Android uygun otomatik senkronizasyon seçeneği sunar. Ancak yerel kahve dükkanında veya alışveriş merkezinde açık bir Wi-Fi ağına bağlıyken verilerimin otomatik olarak senkronize edilebileceğinden korkuyorum.

Android'in otomatik senkronizasyonlarının tümü, SSL veya benzeri bir şifreleme mekanizması kullanılarak şifreleniyor mu? Herhangi bir otomatik senkronize edilmiş veri şifrelenmemiş ve herkesin dinleyebileceği bir şekilde aktarılıyor mu?

Güncelleme : TAMAMEN GÜVENİLİR !!!! Aşağıya bakınız!!!!

Not: Kimsenin bilmediği gibi kendi soruma cevap vermek.

Menü -> Hesaplar ve Senkronizasyon -> Otomatik senk. ("Güç Kontrolü" widget'ından da erişilebilir) seçeneğini seçtikten sonra bir paket yakalama işlemi yaptım. Ne keşfettim?

Benim için korku (telefon aşağıda gösterilmiştir gelen http istekleri):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

ve

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

Benim rehber ve ajanda iletilen ediliyor şifresiz ! Şu anda gmail'i senkronize etmiyorum, bu yüzden şifrelenmemişse söyleyemem.

Ayrıca borsa uygulaması (bir hizmet olması gerekir, çünkü widget'ı görüntülemedim ya da uygulamayı aktif etmedim):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

Hisse senedi fiyatları için tamamen şifrelenmemiş istek: sadece düşünün, şehrinizin finans merkezinde Starbucks'ta oturup, etrafınızdaki tüm akıllı telefon kullanıcıları için hangi tekliflerin önemli olduğunu paket koklayın.

Şifrelenmemiş diğer öğeler:

• http isteği htc.accuweather.com
• için zaman isteği time-nw.nist.gov:13(NTP bile kullanmıyor)

Hakkında sadece telefonumda şifrelenir veri posta I (K-9 uygulamayla kurmak hesapları olan tüm posta kullanımı SSL hesapları çünkü - ve hesaplardır neyse gmail, varsayılan SSL ile ve ! Yahoo mail destekleri kullanarak imap SSL de). Ancak , kutudan çıkan telefondan otomatik olarak senkronize edilen verilerin hiçbiri şifrelenmemiş görünüyor.

Bu, Froyo 2.2'nin kurulu olduğu bir HTC Desire Z'de . Ders: VPN şifreli tünel açmadan telefonu açık kablosuz ağda kullanmayın !!!

OpenSwan (IPSEC) xl2tpd (L2TP) aracılığıyla Android telefona bağlı Debian çalıştıran sanal düğümde ppp0 arabiriminde tshark kullanılarak alınan paket yakalamaya dikkat edin.

Elde edilen sonuçlar LG Optimus V (VM670), Android 2.2.1, hisse senetleri, Mart 2011'de satın alınmış.

Bugün itibariyle, tam bir resync sırasında alınan bir pcap'ta bulabildiğim şifrelenmemiş tek talepler şunlardı:

Picasa Web Albümleri

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

Bu kadar.

Picasa, şifrelenmemiş senkronize edildiğini bulabildiğim tek hizmetti. Facebook birkaç profil resmi istedi (ancak herhangi bir hesap bilgisini iletmedi); Skype reklam istedi; ve TooYou yeni bir afiş resmi aldınız. Bunların hiçbiri gerçekten senkronize etmekle ilgili değil.

Öyle görünüyor ki, Google’ın senkronizasyon güvenliği biraz gerildi Picasa Web Albümleri'ni senkronize etmeyi kapatın; tüm Google verileriniz şifreli biçimde senkronize edilmelidir.

Market

Bu beni biraz rahatsız etti:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

Bunun geri dönüşü, oldukça karmaşık bir indirme URL'sine işaret eden Geçici Olarak Taşınan bir 302'dir:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Android'in indirme yöneticisi tam tersine döner ve o indirme konumunu ister ve MarketDAçerezi yeniden iletir.

Market’in APK’leri indirme biçiminden bir güvenlik tehlikesi olup olmadığını bilmiyorum. Hayal edebileceğim en kötüsü, şifrelenmemiş APK indirmelerinin kötü niyetli bir paketle araya girme ve değiştirme olasılığını açıyor, ancak Android'in bunu önlemek için imza çekleri olduğundan eminim.