Com o lançamento do plug-in firesheep para o firefox , tornou-se trivial que a navegação em sites em redes Wi-Fi abertas fosse invadida por ouvintes de terceiros.
O Android oferece a conveniente opção de sincronização automática. No entanto, receio que meus dados possam ser sincronizados automaticamente enquanto estiver conectado a uma rede Wi-Fi aberta enquanto estiver na cafeteria ou shopping local.
Todos os dados são sincronizados automaticamente com o Android criptografados usando SSL ou um mecanismo de criptografia semelhante? Os dados de sincronização automática não são criptografados e transmitidos de forma clara para que todos possam ouvir?
Atualização : COMPLETAMENTE INSEGURO !!!! Ver abaixo!!!!
Respostas:
Nota: respondendo minha própria pergunta como ninguém sabia.
Fiz uma captura de pacotes depois de selecionar Menu -> Contas e sincronização -> Sincronização automática (também acessível pelo widget "Controle de energia"). O que eu descobri?
Para meu horror (pedidos de http do telefone exibidos abaixo):
e
Meus contatos e calendário estão sendo transmitidos sem criptografia ! No momento, não sincronizo o gmail, então não sei dizer se isso não está criptografado.
Também o aplicativo do mercado de ações (que deve ser um serviço porque não tenho o widget exibido ou o aplicativo ativo):
Pedido completamente não criptografado de cotações de ações: pense, você pode sentar-se na Starbucks no centro financeiro da sua cidade e cheirar pacotes que cotações são importantes para todos os usuários de smartphones ao seu redor.
Outros itens que não foram criptografados:
htc.accuweather.com
time-nw.nist.gov:13
(nem usa NTP)Os únicos dados criptografados no meu telefone são as contas de email que eu configurei com o aplicativo K-9 (porque todas as minhas contas de email usam SSL - e felizmente as contas do Gmail são, por padrão, SSL; e o yahoo! Mail suporta o imap usando SSL também). Mas parece que nenhum dos dados de sincronização automática do telefone pronto para o uso está criptografado.
Este é um HTC Desire Z com o Froyo 2.2 instalado. Lição: não use o telefone na rede sem fio aberta sem o tunelamento criptografado da VPN !!!
Observe que a captura de pacotes obtida usando a interface tshark na ppp0 no nó virtual executando o Debian conectado ao telefone Android via OpenSwan (IPSEC) xl2tpd (L2TP).
fonte
auth=
string continha o que parecia ser semelhante a um cookie; no entanto, eu a excluí antes de postar aqui por segurança.Resultados capturados em um LG Optimus V (VM670), Android 2.2.1, estoque, com raiz, adquirido em março de 2011.
Até hoje, as únicas solicitações não criptografadas que eu pude encontrar em um pcap obtidas durante uma ressincronização completa foram:
Álbuns da web do Picasa
É isso aí.
O Picasa foi o único serviço que pude encontrar sendo sincronizado sem criptografia. O Facebook solicitou algumas imagens de perfil (mas não passou nenhuma informação da conta); Anúncios solicitados pelo Skype; e TooYoou pegou uma nova imagem de banner. Na verdade, nenhum deles se refere à sincronização.
Portanto, parece que a segurança de sincronização do Google foi bastante reforçada. Desative a sincronização dos Álbuns da web do Picasa e todos os seus dados do Google deverão ser sincronizados de forma criptografada.
Mercado
Isso me incomodou um pouco:
O retorno disso é um 302 Movido Temporariamente que aponta para um URL de download altamente complexo:
O gerenciador de downloads do Android se vira e solicita o local do download, passando o
MarketDA
cookie novamente.Não sei se há algum risco à segurança de como o Market baixa APKs. O pior que posso imaginar é que downloads de APK não criptografados abrem a possibilidade de interceptação e substituição por um pacote malicioso, mas tenho certeza que o Android tem verificações de assinatura para evitar isso.
fonte