Con el lanzamiento del complemento firesheep para firefox, se ha vuelto trivial que la navegación de sitios web en redes Wi-Fi abiertas sea secuestrada por oyentes de terceros.
Android ofrece la conveniente opción de sincronización automática. Sin embargo, me temo que mis datos pueden sincronizarse automáticamente mientras estoy conectado a una red Wi-Fi abierta mientras estoy en la cafetería o centro comercial local.
¿Todos los datos de la sincronización automática de Android están encriptados utilizando SSL o un mecanismo de encriptación similar? ¿Hay algún dato de sincronización automática sin cifrar y transmitido de forma clara para que todos lo escuchen?
Actualización : COMPLETAMENTE INSEGURO !!!! ¡¡¡¡Vea abajo!!!!
Respuestas:
Nota: respondiendo mi propia pregunta como nadie lo sabía.
Hice una captura de paquetes después de seleccionar Menú -> Cuentas y sincronización -> Sincronización automática (también accesible a través del widget "Control de energía"). ¿Qué descubrí?
Para mi horror (solicitudes http del teléfono que se muestran a continuación):
y
¡Mis contactos y mi calendario se transmiten sin cifrar ! Actualmente no sincronizo gmail, así que tampoco podría decir si eso no está cifrado.
También la aplicación del mercado de valores (que debe ser un servicio porque no tengo el widget visualizado o la aplicación activa):
Solicitud de cotizaciones de acciones completamente sin cifrar: solo piense, podría sentarse en Starbucks en el centro financiero de su ciudad y analizar qué cotizaciones eran importantes para todos los usuarios de teléfonos inteligentes que lo rodean.
Otros elementos que no fueron encriptados:
htc.accuweather.com
time-nw.nist.gov:13
(ni siquiera usa NTP)Los únicos datos que están encriptados en mi teléfono son las cuentas de correo que configuré con la aplicación K-9 (porque todas mis cuentas de correo usan SSL, y afortunadamente las cuentas de gmail son, por defecto, SSL; y yahoo! Mail admite el uso de imap usando SSL también). Pero parece que ninguno de los datos de sincronización automática del teléfono listo para usar está encriptado.
Esto está en un HTC Desire Z con Froyo 2.2 instalado. Lección: ¡no use el teléfono en una red inalámbrica abierta sin un túnel VPN cifrado !
Tenga en cuenta que la captura de paquetes se realiza utilizando tshark en la interfaz ppp0 en el nodo virtual que ejecuta Debian conectado a un teléfono Android a través de OpenSwan (IPSEC) xl2tpd (L2TP).
fuente
auth=
cadena contenía lo que parecía ser similar a una galleta, sin embargo lo he borrado antes de publicar aquí para la seguridad,.Resultados capturados en un LG Optimus V (VM670), Android 2.2.1, stock, rooteado, comprado en marzo de 2011.
A partir de hoy, las únicas solicitudes sin cifrar que pude encontrar en un pcap tomado durante una resincronización completa fueron:
Álbumes web de Picasa
Eso es.
Picasa fue el único servicio que pude encontrar sincronizado sin cifrar. Facebook solicitó un par de imágenes de perfil (pero no pasó ninguna información de cuenta); Skype solicitó anuncios; y TooYoou tomó una nueva imagen de banner. Ninguno de los relacionados con la sincronización, en realidad.
Por lo tanto, parece que la seguridad de sincronización de Google se ha reforzado bastante. Desactiva la sincronización de Álbumes web de Picasa y todos tus datos de Google deben sincronizarse en forma cifrada.
Mercado
Esto me molestó un poco:
El regreso de esto es un 302 movido temporalmente que apunta a una URL de descarga altamente compleja:
El administrador de descargas de Android gira y solicita esa ubicación de descarga, pasando la
MarketDA
cookie nuevamente.No sé si existe algún peligro para la seguridad de cómo Market descarga APK. Lo peor que puedo imaginar es que las descargas de APK sin cifrar abren la posibilidad de intercepción y reemplazo con un paquete malicioso, pero estoy seguro de que Android tiene comprobaciones de firmas para evitar eso.
fuente