在2011年3月购买的LG Optimus V(VM670),Android 2.2.1存根上捕获的结果。
截至今天,我在完全重新同步期间通过pcap能够找到的唯一未加密请求是:
Picasa网络相册
GET /data/feed/api/user/<username>?imgmax=1024&max-results=1000&thumbsize=144u,1024u
&visibility=visible&kind=album HTTP/1.1
GData-Version: 2
Accept-Encoding: gzip
Authorization: GoogleLogin auth=<snipped>
If-None-Match: <snipped; don't know if it's sensitive info>
Host: picasaweb.google.com
Connection: Keep-Alive
User-Agent: Cooliris-GData/1.0; gzip
而已。
Picasa是我发现唯一未加密同步的服务。Facebook要求提供几张个人资料图片(但未传递任何帐户信息);Skype请求的广告;TooYoou抓起了新的横幅图像。实际上,这些都与同步无关。
因此,看来Google的同步安全性已经加强了很多。关闭同步Picasa网络相册,您的所有Google数据均应以加密形式进行同步。
市场
这让我有些困扰:
GET /market/download/Download?userId=<snipped>&deviceId=<snipped>
&downloadId=-4466427529916183822&assetId=2535581388071814327 HTTP/1.1
Cookie: MarketDA=<snipped>
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: AndroidDownloadManager
返回的是302临时移动,指向高度复杂的下载URL:
HTTP/1.1 302 Moved Temporarily
Cache-control: no-cache
Location: http://o-o.preferred.iad09g05.v5.lscache6.c.android.clients.google.com
/market/GetBinary/com.wemobs.android.diskspace/1?expire=1322383029&ipbits=0
&ip=0.0.0.0&sparams=expire,ipbits,ip,q:,oc:<snipped>
&signature=<snipped>.<snipped>&key=am2
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Date: Fri, 25 Nov 2011 08:37:09 GMT
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Transfer-Encoding: chunked
Android的下载管理器会转过来并请求该下载位置,然后MarketDA再次传递cookie。
我不知道Market下载APK是否有安全隐患。我能想象到的最糟糕的情况是,未加密的APK下载打开了拦截和替换恶意程序包的可能性,但是我敢肯定Android会进行签名检查以防止这种情况。