Android समन्वयन डेटा क्या एन्क्रिप्ट किया गया है?

फ़ायरफ़ॉक्स के लिए फ़ेयरशीप प्लग-इन जारी करने के साथ, यह 3 पार्टी श्रोताओं द्वारा अपहृत होने के लिए खुले वाई-फाई नेटवर्क पर वेबसाइट ब्राउज़िंग के लिए तुच्छ बन गया है।

एंड्रॉइड सुविधाजनक ऑटो-सिंक विकल्प प्रदान करता है। हालांकि मुझे डर है कि स्थानीय कॉफी शॉप या शॉपिंग मॉल में खुले वाई-फाई नेटवर्क से कनेक्ट होने के दौरान मेरा डेटा ऑटो-सिंक हो सकता है।

क्या सभी डेटा एंड्रॉइड ऑटो-सिंक को एसएसएल या एक समान एन्क्रिप्शन तंत्र का उपयोग करके एन्क्रिप्ट किया गया है? क्या कोई भी ऑटो-सिंक डेटा अनएन्क्रिप्टेड और सभी को सुनने के लिए स्पष्ट में प्रेषित होता है?

अद्यतन : पूरी तरह से !!!! निचे देखो!!!!

नोट: मेरे अपने प्रश्न का उत्तर देना जैसा कि कोई नहीं जानता था।

मैंने मेनू -> लेखा और समन्वयन -> ऑटो-सिंक ("पावर कंट्रोल" विजेट के माध्यम से भी सुलभ) का चयन करने के बाद एक पैकेट पर कब्जा किया। मुझे क्या पता चला

मेरे आतंक के लिए (नीचे प्रदर्शित फोन से http अनुरोध):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

तथा

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

मेरे संपर्क और कैलेंडर अनएन्क्रिप्टेड प्रसारित किए जा रहे हैं ! मैं वर्तमान में gmail को सिंक्रोनाइज़ नहीं कर रहा हूँ, इसलिए मैं यह नहीं कह सकता कि अगर यह अनएन्क्रिप्टेड है या तो।

इसके अलावा स्टॉक मार्केट एप्लिकेशन (जो एक सेवा होनी चाहिए क्योंकि मेरे पास विजेट प्रदर्शित नहीं है या एप्लिकेशन सक्रिय नहीं है):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

स्टॉक कोट्स के लिए पूरी तरह से अनएन्क्रिप्टेड अनुरोध: बस सोचें, आप अपने शहर के वित्तीय केंद्र में स्टारबक्स में बैठ सकते हैं और पैकेट-सूंघ सकते हैं कि आपके आसपास के सभी स्मार्ट फोन उपयोगकर्ताओं के लिए कौन से उद्धरण महत्वपूर्ण थे ..

अन्य आइटम जो एन्क्रिप्ट नहीं किए गए थे:

• http अनुरोध करता है htc.accuweather.com
• समय अनुरोध time-nw.nist.gov:13(NTP का उपयोग भी नहीं करता है)

मेरे फोन पर एन्क्रिप्ट किए गए एकमात्र डेटा के बारे में मैं के -9 एप्लिकेशन के साथ सेट किए गए मेल खाते हैं (क्योंकि मेरे सभी मेल खाते एसएसएल का उपयोग करते हैं - और सौभाग्य से, डिफ़ॉल्ट रूप से, जीमेल खाते हैं, और याहू मेल का उपयोग करते हुए मेल समर्थन करते हैं! एसएसएल भी)। लेकिन ऐसा लगता है कि आउट-ऑफ-द-बॉक्स फोन से कोई भी ऑटो-सिंक डेटा एन्क्रिप्ट नहीं किया गया है।

यह HTC डिज़ायर Z पर है जिसमें Froyo 2.2 स्थापित है। सबक: वीपीएन एन्क्रिप्टेड सुरंग के बिना खुले वायरलेस नेटवर्क पर फोन का उपयोग न करें !!!

ध्यान दें, OpenSwan (IPSEC) xl2tpd (L2TP) के माध्यम से Android फोन से जुड़े डेबियन को चलाने वाले आभासी नोड पर ppp0 इंटरफ़ेस पर tshark का उपयोग करके लिया गया पैकेट कैप्चर।

मार्च 2011 में खरीदे गए एलजी ऑप्टिमस वी (वीएम 670), एंड्रॉइड 2.2.1, स्टॉक, रूट पर कैप्चर किए गए परिणाम।

आज तक, केवल एक अनएन्क्रिप्टेड अनुरोध, जिन्हें मैं एक पूर्ण resync के दौरान लिए गए एक pcap में पा सकता था:

पिकासा वेब एल्बम

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

बस।

पिकासा एकमात्र सेवा थी जिसे मैं अनएन्क्रिप्टेड सिंक किया जा सकता था। फेसबुक ने एक युगल प्रोफ़ाइल छवियों का अनुरोध किया (लेकिन किसी भी खाता जानकारी को पारित नहीं किया); Skype ने विज्ञापनों का अनुरोध किया; और TooYoou ने एक नया बैनर चित्र पकड़ा। उनमें से कोई भी सिंक से संबंधित नहीं है, वास्तव में।

इसलिए ऐसा लग रहा है कि गूगल की सिंकिंग सिक्योरिटी को काफी कड़ा कर दिया गया है। Picasa वेब एल्बम को सिंक्रनाइज़ करना बंद करें और आपके सभी Google डेटा को एन्क्रिप्टेड रूप में सिंक किया जाना चाहिए।

बाजार

इसने मुझे थोड़ा परेशान किया:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

इसका रिटर्न 302 मूव्ड अस्थायी है जो अत्यधिक जटिल डाउनलोड URL की ओर इशारा करता है:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

Android का डाउनलोड प्रबंधक दाईं ओर घूमता है और MarketDAकुकी डाउनलोड करते हुए स्थान डाउनलोड करने का अनुरोध करता है ।

मुझे नहीं पता कि बाजार से कोई भी सुरक्षा खतरा कैसे है। सबसे बुरी बात यह है कि मैं अनएन्क्रिप्टेड एपीके डाउनलोड एक दुर्भावनापूर्ण पैकेज के साथ अवरोधन और प्रतिस्थापन की संभावना को खोलता हूं, लेकिन मुझे यकीन है कि इसे रोकने के लिए एंड्रॉइड के हस्ताक्षर चेक हैं।