Avec la sortie du plug-in firesheep pour Firefox, il est devenu trivial que la navigation sur un site Web sur des réseaux Wi-Fi ouverts soit détournée par des auditeurs tiers.
Android propose l'option de synchronisation automatique pratique. Cependant, je crains que mes données ne soient synchronisées automatiquement lorsque je suis connecté à un réseau Wi-Fi ouvert au café ou au centre commercial local.
Toutes les données d'Android se synchronisent-elles automatiquement à l'aide de SSL ou d'un mécanisme de cryptage similaire? Les données auto-synchronisées sont-elles non cryptées et transmises en clair pour que tous puissent les écouter?
Mise à jour : COMPLETEMENT INSECURE !!!! Voir ci-dessous!!!!
Réponses:
Remarque: répondre à ma propre question comme personne ne le savait.
J'ai fait une capture de paquets après avoir sélectionné Menu -> Comptes et synchronisation -> Synchronisation automatique (également accessible via le widget "Power Control"). Qu'ai-je découvert?
À mon horreur (requêtes http du téléphone affichées ci-dessous):
et
Mes contacts et mon calendrier sont transmis non cryptés ! Je ne synchronise pas actuellement gmail, je ne pourrais donc pas dire non plus s'il est non chiffré.
Aussi l'application boursière (qui doit être un service car je n'ai pas le widget affiché ou l'application active):
Demande de cotation boursière entièrement non chiffrée: pensez, vous pouvez vous asseoir dans Starbucks dans le centre financier de votre ville et flairer les citations qui étaient importantes pour tous les utilisateurs de téléphones intelligents autour de vous.
Autres éléments non cryptés:
htc.accuweather.com
time-nw.nist.gov:13
(n'utilise même pas NTP)Les seules données cryptées sur mon téléphone sont les comptes de messagerie que j'ai configurés avec l'application K-9 (car tous mes comptes de messagerie utilisent SSL - et heureusement, les comptes gmail sont, par défaut, SSL; et yahoo! Mail prend en charge l'imap à l'aide de SSL aussi). Mais il semble qu'aucune des données auto-synchronisées du téléphone prêt à l'emploi ne soit cryptée.
C'est sur un HTC Desire Z avec Froyo 2.2 installé. Leçon: n'utilisez pas le téléphone sur un réseau sans fil ouvert sans tunneling crypté VPN !!!
Remarque, capture de paquets prise en utilisant tshark sur l'interface ppp0 sur un nœud virtuel exécutant Debian connecté à un téléphone Android via OpenSwan (IPSEC) xl2tpd (L2TP).
la source
auth=
chaîne contenait ce qui semblait être un cookie, je l'ai supprimé avant de poster ici pour des raisons de sécurité, cependant.Résultats capturés sur un LG Optimus V (VM670), Android 2.2.1, stock, enraciné, acheté en mars 2011.
À ce jour, les seules demandes non chiffrées que j'ai pu trouver dans un pcap prises lors d'une resynchronisation complète étaient:
Albums Web Picasa
C'est ça.
Picasa était le seul service que je pouvais trouver en cours de synchronisation non crypté. Facebook a demandé quelques images de profil (mais n'a transmis aucune information de compte); Skype a demandé des annonces; et TooYoou a saisi une nouvelle image de bannière. Rien de tout cela ne concerne vraiment la synchronisation.
Il semble donc que la sécurité de synchronisation de Google ait été considérablement renforcée. Désactivez la synchronisation de Picasa Albums Web et toutes vos données Google doivent être synchronisées sous forme cryptée.
Marché
Cela m'a un peu dérangé:
Le retour de ceci est un 302 déplacé temporairement qui pointe vers une URL de téléchargement très complexe:
Le gestionnaire de téléchargement d'Android se retourne et demande cet emplacement de téléchargement, en passant
MarketDA
à nouveau le cookie.Je ne sais pas s'il existe un danger pour la sécurité de la façon dont Market télécharge les fichiers APK. Le pire que je puisse imaginer est que les téléchargements d'APK non cryptés ouvrent la possibilité d'interception et de remplacement par un package malveillant, mais je suis sûr qu'Android a des contrôles de signature pour éviter cela.
la source