অ্যান্ড্রয়েড সিঙ্ক'ড ডেটা কী এনক্রিপ্ট করা হয়?

ফায়ারফক্সের জন্য ফায়ারশিপ প্লাগ-ইন প্রকাশের সাথে সাথে, উন্মুক্ত Wi-Fi নেটওয়ার্কগুলিতে ওয়েবসাইট ব্রাউজিংয়ের জন্য তৃতীয় পক্ষের শ্রোতা হাইজ্যাক করার জন্য এটি তুচ্ছ হয়ে উঠেছে।

অ্যান্ড্রয়েড সুবিধাজনক স্বয়ংক্রিয়-সিঙ্ক বিকল্প সরবরাহ করে। তবে আমি আশঙ্কা করি যে স্থানীয় কফি শপ বা শপিং মলে থাকাকালীন আমি একটি উন্মুক্ত Wi-Fi নেটওয়ার্কের সাথে সংযুক্ত থাকাকালীন আমার ডেটা স্বয়ংক্রিয়ভাবে সিঙ্ক হবে।

সমস্ত ডেটা অ্যান্ড্রয়েড অটো সিঙ্কগুলি এসএসএল বা অনুরূপ এনক্রিপশন প্রক্রিয়া ব্যবহার করে এনক্রিপ্ট করা আছে? সবার মধ্যে শোনার জন্য কোনও স্ব-সিঙ্কযুক্ত ডেটা কি এনক্রিপ্ট করা এবং স্পষ্টভাবে সংক্রমণিত?

আপডেট : সম্পূর্ণ ইনসিকিউর !!!! নিচে দেখ!!!!

দ্রষ্টব্য: আমার নিজের প্রশ্নের উত্তর যেমনটি কেউ জানত না।

আমি মেনু -> অ্যাকাউন্টস এবং সিঙ্ক -> অটো সিঙ্ক ("পাওয়ার কন্ট্রোল" উইজেটের মাধ্যমে অ্যাক্সেসযোগ্য) নির্বাচন করার পরে একটি প্যাকেট ক্যাপচার করেছি did আমি কি আবিষ্কার করেছি?

আমার ভয়াবহতার জন্য (নীচে প্রদর্শিত ফোন থেকে HTTP অনুরোধগুলি):

GET /proxy/calendar/feeds/myaccount%40gmail.com HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Calendar/1.4 (vision FRF91); gzip

এবং

GET /proxy/contacts/groups/myaccount@gmail.com/base2_property-android?showdeleted=true&orderby=lastmodified&updated-min=2010-12-01T08%3A49%3A00.561Z&sortorder=ascending&max-results=10000&requirealldeleted=true HTTP/1.1
Accept-Encoding: gzip
Authorization: GoogleLogin auth=_hidden_
GData-Version: 3.0
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: Android-GData-Contacts/1.3 (vision FRF91); gzip

আমার পরিচিতি এবং ক্যালেন্ডার এনক্রিপটেড স্থানান্তরিত হচ্ছে ! আমি বর্তমানে জিমেইল সিঙ্ক্রোনাইজ করছি না তাই যদি তা হয় না এনক্রিপ্ট করা থাকে তবে আমি বলতে পারি না।

এছাড়াও স্টক মার্কেটের অ্যাপ্লিকেশন (যা অবশ্যই একটি পরিষেবা হতে হবে কারণ আমার কাছে উইজেট প্রদর্শিত হয়নি বা অ্যাপ্লিকেশনটি সক্রিয় নেই):

POST /dgw?imei=TEST&apptype=finance&src=HTC01 HTTP/1.1
User-Agent: curl/7.19.0 (i586-pc-mingw32msvc) libcurl/7.19.0 zlib/1.2.3
Content-Type: text/xml
Content-Length: 338
Host: api.htc.go.yahoo.com
Connection: Keep-Alive
Expect: 100-Continue

<?xml version="1.0" encoding="UTF-8"?>
<request devtype="HTC_Model" deployver="HTCFinanceWidget 0.1" app="HTCFinanceWidget" appver="0.1.0" api="finance" apiver="1.0.1" acknotification="0000">
<query id="0" timestamp="0" type="getquotes">
<list><symbol>VOD.L</symbol><symbol>BARC.L</symbol></list></query>
</request>

স্টক কোটগুলির জন্য সম্পূর্ণভাবে এনক্রিপ্ট করা অনুরোধ: কেবলমাত্র মনে করুন, আপনি আপনার শহরের আর্থিক কেন্দ্রে স্টারবাক্সে বসে প্যাকেট-স্নিফের চারপাশে থাকা সমস্ত স্মার্ট ফোন ব্যবহারকারীদের জন্য কী উদ্ধৃতিগুলি গুরুত্বপূর্ণ ছিল ..

অন্যান্য আইটেম যা এনক্রিপ্ট করা হয়নি:

• HTTP অনুরোধ htc.accuweather.com
• সময় অনুরোধ time-nw.nist.gov:13(এমনকি এনটিপি ব্যবহার করে না)

আমার ফোনে এনক্রিপ্ট করা কেবলমাত্র ডেটা সম্পর্কেই আমি কে -9 অ্যাপ্লিকেশনটির সাথে সেট আপ করা মেল অ্যাকাউন্টগুলি (কারণ আমার সমস্ত মেইল ​​অ্যাকাউন্ট এসএসএল ব্যবহার করে - এবং ভাগ্যক্রমে জিমেইল অ্যাকাউন্টগুলি ডিফল্টরূপে, এসএসএল এবং ইয়াহু! মেল ইমেল সমর্থন করে ইমেল সমর্থন করে এসএসএলও )। তবে দেখে মনে হচ্ছে বাইরের বাইরে থাকা ফোনটি থেকে কোনও স্বয়ংক্রিয় সিঙ্ক করা ডেটা এনক্রিপ্ট করা নেই।

এটি হ'ল এইচটিসি ডিজায়ার জেড-এ ফ্রিওও ২.২ ইনস্টল রয়েছে। পাঠ: ভিপিএন এনক্রিপ্ট হওয়া টানেলিং ছাড়া ওপেন ওয়্যারলেস নেটওয়ার্কে ফোন ব্যবহার করবেন না !!!

দ্রষ্টব্য, ওপেনসওয়ান (আইপিএসসি) xl2tpd (এল 2 টিপি) এর মাধ্যমে অ্যান্ড্রয়েড ফোনে সংযুক্ত ডিবিয়ান অ্যান্ড্রয়েড ফোনে পিপিপি 0 ইন্টারফেসে tshark ব্যবহার করে নেওয়া প্যাকেট ক্যাপচার।

মার্চ ২০১১ সালে কেনা একটি LG অপ্টিমাস ভি (ভিএম 70 )০), অ্যান্ড্রয়েড ২.২.১, স্টক, এ প্রাপ্ত ফলাফলগুলি।

আজ অবধি, সম্পূর্ণ রিসাইঙ্কের সময় নেওয়া পিসি্যাপে কেবলমাত্র আনইনক্রিপ্ট করা অনুরোধগুলি আমি পেয়েছি:

পিকাসা ওয়েব অ্যালবাম

GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
    &visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip

এটাই.

পিকাসা হ'ল একমাত্র পরিষেবা যা আমি এনক্রিপ্ট না করা এনক্রিপ্ট করা হিসাবে দেখতে পেলাম। ফেসবুক একটি দম্পতি প্রোফাইল চিত্রের জন্য অনুরোধ করেছে (তবে কোনও অ্যাকাউন্টের তথ্য দেয় নি); স্কাইপ বিজ্ঞাপন অনুরোধ করেছে; এবং TooYoou একটি নতুন ব্যানার চিত্র পেয়েছে। এগুলির কোনওটিই সিঙ্কের সাথে সম্পর্কিত নয় really

সুতরাং দেখে মনে হচ্ছে গুগলের সিঙ্ক সুরক্ষাটি বেশ খানিকটা কড়া করা হয়েছে। পিকাসা ওয়েব অ্যালবামগুলি সিঙ্কিং বন্ধ করুন এবং আপনার সমস্ত গুগল ডেটা এনক্রিপ্ট করা আকারে সিঙ্ক করা উচিত।

বাজার

এটি আমাকে একটু বিরক্ত করেছিল:

GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
    &downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager

এর প্রত্যাবর্তনটি একটি 302 অস্থায়ীভাবে সরানো যা একটি অত্যন্ত জটিল ডাউনলোডের ইউআরএলকে নির্দেশ করে:

HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
          /market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
          &ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
          &signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked

অ্যান্ড্রয়েডের ডাউনলোড ম্যানেজার ডানদিকে ঘুরিয়ে দেয় এবং অনুরোধ করে যে লোকেশনটি ডাউনলোড করুন, MarketDAআবার কুকিটি পাস করুন ।

বাজার কীভাবে APK ডাউনলোড করে তা থেকে সুরক্ষার কোনও বিপদ আছে কিনা তা আমি জানি না। সবচেয়ে খারাপ যেটি আমি কল্পনা করতে পারি তা হল যে এনক্রিপ্ট করা APK ডাউনলোডগুলি ক্ষতিকারক প্যাকেজটির সাথে বাধা ও প্রতিস্থাপনের সম্ভাবনা উন্মুক্ত করে, তবে আমি নিশ্চিত যে এড়াতে অ্যান্ড্রয়েডের স্বাক্ষর পরীক্ষা রয়েছে।