Проверить свою организацию: зачем это нужно даже владельцу 
Рождество в Бресте 
Историко-архитектурная загадка 
Фотограф Екатерина Полищук делает снимки с воздуха, которые открывают мир с 
Идиома в five o’clock: "Lovely weather for ducks" 
Жаркое в чугунке 
Слоновий питомник в окрестностях Чиангмая 
Некоторые из страшных преступниц нашей истории II 
День победы. Парад Вот задумался. Где свободы больше: было в СССР, где я вырос, или есть сейчас, в либеральном европейском обществе, где я живу? Свобода — это, в общем, возможность самореализации, в рамках доступных человеку в силу его личностных характеристик. Ну я, скажем, был далеко не последним ...
Небезопасный андроид
bbldox — 17.03.2011
Поскольку мой топик на хабре завернули, хоть тут напишу.Практически вся информация между устройством Android и серверами Google проходит в открытом виде - gzip через HTTP. Синхронизация контактов, календарей - точно. Похоже, то же и с маркетом.
Шифруется соединение с почтой и процесс авторизации на сервере.
Попробую дописать плагин к firesheep - тогда эти данные в открытых WiFi сетях можно будет неплохо сливать.
Очень жаль, что про это мало где написано. Потому что это не дырка, это дырища! Нет никаких настроек, чтобы это можно было изменить.
Рекомендую, как минимум, стараться не пользоваться незащищёнными WiFi-сетями.
PS
если интересно, вот пример запроса на добавление нового контакта (это дамп пакета с моего телефона, только личные данные стёр). Проверял на Android 2.1 и 2.3
http://www.w3.org/2005/Atom" xmlns:gd="http://schemas.google.com/g/2005"
xmlns:gContact="http://schemas.google.com/contact/2008">
http://schemas.google.com/g/2005#mobile"
primary="true">+79*********
http://www.google.com/m8/feeds/groups/[email protected]/base/6"
deleted="false" />
FirstName
LastName</</gd:familyName>
FirstName LastName
* This source code was highlighted with Source
Code Highlighter.UPD
для тех, кто думает, что это можно оставить "как есть":
товарищи, это реально дыра.
Вариант взлома N1:
Можно поставить прокси-сервер на роутер, который будет ловить подобные запросы. И любой телефон, который вы записали в кафе с бесплатным wifi, будет неправильным. Отправите смс - с вас 10 рублей. Позвоните - 100. И только потом поймёте, что телефончик как-то изменился.
Вариант взлома N2:
телефоны на андроиде любят синхронизироваться везде и всегда (включая адресную книгу)
так вот, заголовок о том, какие данные изменились, тоже передаётся по HTTP:
/proxy/contacts/contacts/[email protected]/base2_property-android?v=3.0&showdeleted=true&orderby=lastmodified&updated-min=2011-03-15T06%3A16%3A27.288Z&sortorder=ascending&max-results=10000&requirealldeleted=true
Никто не мешает вредному роутеру перезаписать вам всю адресную книгу через эту замечательную дырку.
UPD2
Взломать на запись, конечно, не так просто, но вот на чтение - практически элементарно
Сохранено
|
|
</> |
Оставить комментарий
Популярные посты:
Архив записей в блогах:
Ну что, давайте записываться. Процесс будет медленный, но плодотворный. Кто хочет комментировать мои посты, оставляйте заявку в комментариях. Сразу предупреждаю, что читать я вас не буду и вы тоже не будете видеть мои подзамки, и что пустой журнал ...
Мужской и оригинальный : Любую скуку, как говорится, можно завсегда развеять. Неважно чем, главное, чтобы занятие было интересным и праздным, как, ...
навеяно наблюденным лично на улице сегодня ситуация: пассажир припаркованного у тротуара авто внезапно!!!111 открывает левую заднюю дверь, и эту дверь сносит едущий себе мирно по своим делам другой автомобиль чисто по житейски понятно что если действительно было внезапно!!!, и ...
МИД Украины указал российскому внешнеполитическому ведомству настоящее местоположение Новороссии. Об этом сообщает Цензор.НЕТ со ссылкой на Зеркало недели. Новороссия - это село Шкотовского района, Приморского края РФ. Так Министерство иностранных дел Украины пояснило топографие ...
