Android提供了便捷的自动同步选项。但是,我担心在本地咖啡店或购物中心连接到开放的Wi-Fi网络时,我的数据可能会自动同步。
Android是否会自动同步所有数据?使用SSL或类似的加密机制进行加密?是否自动加密了所有自动同步的数据并以明文方式传输,以使所有人都能收听?
更新:完全不安全!!!见下文!!!!
#1 楼
注意:回答我自己的问题,没人知道。我在选择菜单->帐户与同步->自动同步(也可以通过“电源控制”小部件访问)后捕获了数据包。我发现了什么?
令我恐惧的是(来自手机的http请求显示在下面):
GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip
和
GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip
我的联系人和日历未加密传输!我目前不同步gmail,因此我也无法说出是否未加密。
股票市场应用程序(必须是一项服务,因为我没有显示小部件或应用程序活动):
POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue
<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>
完全未加密的股票报价请求:想想,您可以坐在您所在城市金融中心的星巴克,然后嗅探什么报价很重要到您周围的所有智能手机用户。 br到
htc.accuweather.com
的时间请求(甚至不使用NTP)关于手机上唯一加密的数据是我在K-9应用程序中设置的邮件帐户(因为我所有邮件帐户使用SSL-幸运的是,默认情况下,gmail帐户是SSL;而yahoo!邮件也支持使用SSL的imap。但是,似乎无法对开箱即用手机中的自动同步数据进行加密。
这是在装有Froyo 2.2的HTC Desire Z上。课程:不要在没有VPN加密隧道的情况下在开放的无线网络上使用电话!!!
注意,在运行Debian的虚拟节点上通过ppp0接口使用tshark捕获数据包是通过OpenSwan(IPSEC)连接到Android电话的xl2tpd(L2TP)。
评论
令人担心。我看不到任何cookie在那儿来回传递,它们也以明文形式发送吗?
–GAThrawn
2010年12月1日,9:47
auth =字符串包含的内容似乎与cookie相似,但是出于安全性考虑,我在将其发布到此处之前将其删除。
– PP。
2010年12月1日,9:53
这仍然是Android 2.3.1上的当前问题吗?
– meinzlein
2011-11-25 18:13
我相信您可以将Android 4设置为始终使用VPN连接。
–直觉
13年11月25日在18:12
#2 楼
从LG Optimus V(VM670),Android 2.2.1存货中获取的结果已于2011年3月购买。直到今天,我在完全重新同步期间通过pcap能够找到的唯一未加密请求是:
Picasa网络相册
GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
&visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip
就这样。
Picasa是我能找到的唯一未加密同步服务。 Facebook要求提供几张个人资料图片(但未传递任何帐户信息); Skype请求的广告; TooYoou抓起了新的横幅图像。实际上,这些都与同步无关。
因此,看起来Google的同步安全性已被严格加强。关闭同步Picasa网络相册,您的所有Google数据都应以加密形式进行同步。
市场
这让我有些烦恼:
GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
&downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager
返回的是302暂时移至指向非常复杂的下载URL:
HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
/market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
&ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
&signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked
Android的下载管理器转过身并请求下载位置,并再次传递了
MarketDA
cookie。我不知道是否有任何URL。 Market如何下载APK带来安全隐患。我能想象到的最糟糕的情况是,未加密的APK下载打开了被恶意程序包拦截和替换的可能性,但我确信Android可以进行签名检查以防止这种情况。
评论
我很高兴自从我最初发现其他人现在开始认真对待这一点。谢谢!当我发布最初的问题/答案时,我感到自己一个人在旷野。自从最初的帖子以来,我实际上并没有进行任何重新测试,并保持了更安全的做法-但我很高兴其他人也对此进行了跟进。
– PP。
2011-12-19 12:20
有时候,我会从别人那里得到有趣的表情,因为我像正常情况一样大肆宣扬安全性。发布此消息三天后,我抢购了新的Motorola Triumph的“网络星期一”交易。客户服务问题将其推迟到了上周三,但是我很快发现它在EAP保护的网络中存在重大问题。我的大学使用EAP。所以很高兴我调查了这个。由于我尚未测试Currents,因此可能还会有更多的结果。 ;)
– dgw
2011-12-20 10:10
我只想鼓励您-听起来像是一个足够关心安全的好人。
– PP。
2011-12-22 14:25
评论
《德国海斯杂志》(The German Heise Magazine)上有一篇很棒的文章。它只是德语,但您可以使用翻译服务。链接:heise最终,Google似乎会处理其用户数据:uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html