哪些Android同步数据已加密？

#1 楼

注意：回答我自己的问题，没人知道。

我在选择菜单->帐户与同步->自动同步（也可以通过“电源控制”小部件访问）后捕获了数据包。我发现了什么？

令我恐惧的是（来自手机的http请求显示在下面）：

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

和

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

我的联系人和日历未加密传输！我目前不同步gmail，因此我也无法说出是否未加密。

股票市场应用程序（必须是一项服务，因为我没有显示小部件或应用程序活动）：

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

完全未加密的股票报价请求：想想，您可以坐在您所在城市金融中心的星巴克，然后嗅探什么报价很重要到您周围的所有智能手机用户。 br到htc.accuweather.com的时间请求（甚至不使用NTP）

关于手机上唯一加密的数据是我在K-9应用程序中设置的邮件帐户（因为我所有邮件帐户使用SSL-幸运的是，默认情况下，gmail帐户是SSL；而yahoo！邮件也支持使用SSL的imap。但是，似乎无法对开箱即用手机中的自动同步数据进行加密。

这是在装有Froyo 2.2的HTC Desire Z上。课程：不要在没有VPN加密隧道的情况下在开放的无线网络上使用电话！！！

注意，在运行Debian的虚拟节点上通过ppp0接口使用tshark捕获数据包是通过OpenSwan（IPSEC）连接到Android电话的xl2tpd（L2TP）。

#2 楼

从LG Optimus V（VM670），Android 2.2.1存货中获取的结果已于2011年3月购买。
直到今天，我在完全重新同步期间通过pcap能够找到的唯一未加密请求是：
Picasa网络相册

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

就这样。
Picasa是我能找到的唯一未加密同步服务。 Facebook要求提供几张个人资料图片（但未传递任何帐户信息）； Skype请求的广告； TooYoou抓起了新的横幅图像。实际上，这些都与同步无关。
因此，看起来Google的同步安全性已被严格加强。关闭同步Picasa网络相册，您的所有Google数据都应以加密形式进行同步。
市场
这让我有些烦恼：

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

返回的是302暂时移至指向非常复杂的下载URL：

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Android的下载管理器转过身并请求下载位置，并再次传递了MarketDA cookie。
我不知道是否有任何URL。 Market如何下载APK带来安全隐患。我能想象到的最糟糕的情况是，未加密的APK下载打开了被恶意程序包拦截和替换的可能性，但我确信Android可以进行签名检查以防止这种情况。