ข้อมูลซิงค์ของ Android ใดที่ถูกเข้ารหัส?

ด้วยการเปิดตัวปลั๊กอิน firesheep สำหรับ firefoxทำให้กลายเป็นเรื่องง่ายสำหรับการเรียกดูเว็บไซต์ในเครือข่าย Wi-Fi แบบเปิดที่ถูกขโมยโดยผู้ฟังบุคคลที่สาม

Android นำเสนอตัวเลือกการซิงค์อัตโนมัติที่สะดวก อย่างไรก็ตามฉันกลัวว่าข้อมูลของฉันอาจถูกซิงค์อัตโนมัติในขณะที่ฉันเชื่อมต่อกับเครือข่าย Wi-Fi แบบเปิดขณะอยู่ที่ร้านกาแฟหรือห้างสรรพสินค้า

Android ซิงค์ข้อมูลทั้งหมดโดยอัตโนมัติเข้ารหัสโดยใช้ SSL หรือกลไกการเข้ารหัสที่คล้ายกัน? ข้อมูล auto-sync'd ใด ๆ ที่ไม่เข้ารหัสและส่งข้อมูลอย่างชัดเจนเพื่อให้ทุกคนฟังหรือไม่

ปรับปรุง : ไม่สมบูรณ์อย่างสมบูรณ์ !!!! ดูด้านล่าง !!!!

หมายเหตุ: ตอบคำถามของฉันเองตามที่ไม่มีใครรู้

ฉันทำแพ็กเก็ตจับภาพหลังจากเลือกเมนู -> บัญชีและการซิงค์ -> ซิงค์อัตโนมัติ (สามารถเข้าถึงได้ผ่านวิดเจ็ต "การควบคุมพลังงาน") ฉันค้นพบอะไร

ถึงสยองขวัญของฉัน(คำขอ http จากโทรศัพท์ที่แสดงด้านล่าง):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

และ

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

ผู้ติดต่อและปฏิทินของฉันถูกส่งแบบไม่เข้ารหัส ! ฉันไม่ได้ซิงโครไนซ์ gmail ในขณะนี้ดังนั้นฉันจึงไม่สามารถบอกได้ว่าสิ่งนั้นไม่ได้เข้ารหัสหรือไม่

แอปพลิเคชันตลาดหุ้นด้วย (ซึ่งต้องเป็นบริการเพราะฉันไม่ได้แสดงวิดเจ็ตหรือแอปพลิเคชันเปิดใช้งาน):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

คำขอที่ไม่มีการเข้ารหัสอย่างสมบูรณ์สำหรับราคาหุ้น: แค่คิดว่าคุณสามารถนั่งใน Starbucks ในศูนย์กลางทางการเงินของเมืองของคุณและ packet-sniff สิ่งที่คำพูดสำคัญสำหรับผู้ใช้สมาร์ทโฟนทุกคนที่อยู่รอบตัวคุณ ..

รายการอื่น ๆ ที่ไม่ได้เข้ารหัส:

• คำขอ http ไปที่ htc.accuweather.com
• คำขอเวลาไปที่time-nw.nist.gov:13(ไม่ได้ใช้ NTP)

เกี่ยวกับข้อมูลเดียวที่เข้ารหัสในโทรศัพท์ของฉันคือบัญชีเมลที่ฉันตั้งค่าด้วยแอปพลิเคชัน K-9 (เนื่องจากบัญชีเมลทั้งหมดของฉันใช้ SSL - และโชคดีที่บัญชี Gmail เป็นค่าเริ่มต้น SSL และyahoo! mail สนับสนุน imap โดยใช้ SSLด้วย) แต่ดูเหมือนว่าไม่มีข้อมูลที่ซิงค์อัตโนมัติจากโทรศัพท์นอกกล่องได้รับการเข้ารหัส

นี่เป็นของHTC Desire Z ที่ติดตั้ง Froyo 2.2 บทเรียน: อย่าใช้โทรศัพท์ในเครือข่ายไร้สายแบบเปิดโดยไม่ต้องใช้ช่องสัญญาณเข้ารหัส VPN !!!

หมายเหตุการดักจับแพ็กเก็ตที่ถ่ายโดยใช้ tshark บนอินเตอร์เฟส ppp0 บนโหนดเสมือนที่รัน Debian เชื่อมต่อกับโทรศัพท์ Android ผ่าน OpenSwan (IPSEC) xl2tpd (L2TP)

ผลลัพธ์ถูกบันทึกไว้ใน LG Optimus V (VM670), Android 2.2.1, หุ้น, root, ซื้อในเดือนมีนาคม 2011

ณ วันนี้คำขอที่ไม่ได้เข้ารหัสเพียงอย่างเดียวที่ฉันสามารถหาได้ใน pcap ที่ใช้ระหว่างการซิงค์ใหม่ทั้งหมดคือ:

Picasa Web Albums

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

แค่นั้นแหละ.

Picasa เป็นบริการเดียวที่ฉันสามารถค้นพบว่าไม่ได้รับการซิงค์ Facebook ขอรูปภาพโปรไฟล์คู่ (แต่ไม่ผ่านข้อมูลบัญชีใด ๆ ); Skype ขอโฆษณา และ TooYoou ก็คว้าภาพแบนเนอร์ใหม่ ไม่มีผู้ใดเกี่ยวข้องกับการซิงค์จริงๆ

ดังนั้นความปลอดภัยในการซิงค์ของ Google จึงค่อนข้างแน่น ปิดการซิงค์ Picasa Web Albumsและข้อมูล Google ทั้งหมดของคุณควรซิงค์ในรูปแบบที่เข้ารหัส

ตลาด

สิ่งนี้รบกวนฉันเล็กน้อย:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

การกลับมาของสิ่งนี้คือ 302 Moved ชั่วคราวที่ชี้ไปยัง URL การดาวน์โหลดที่มีความซับซ้อนสูง:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

ตัวจัดการการดาวน์โหลดของ Android เลี้ยวขวาแล้วขอตำแหน่งการดาวน์โหลดผ่านMarketDAคุกกี้อีกครั้ง

ฉันไม่รู้ว่ามีอันตรายด้านความปลอดภัยหรือไม่จากการดาวน์โหลด APK สิ่งที่แย่ที่สุดที่ฉันจินตนาการได้คือการดาวน์โหลด APK ที่ไม่ได้เข้ารหัสเปิดโอกาสในการสกัดกั้นและแทนที่ด้วยแพ็คเกจที่เป็นอันตราย แต่ฉันแน่ใจว่า Android มีการตรวจสอบลายเซ็นเพื่อป้องกันไม่ให้