Android google Maps ssl?

[ace-drink]

Android google Apps ssl gesichert?

Hi

Da ich mich grad mit dem Thema VPN und Hotspots und sowas beschäftige, kam auch die Frage auf ob die Android google Apps eigentlich sicher sind.

Also nutzt Gmail, Maps, Kalender, Talk eine SSL Verbindung? Weiss das jemand bzw. weis wie ich das prüfen kann.

Denn wenn das nicht so ist, würde ich meine Geschäftsmails nicht grad im offenen Flughafen Wlan abrufen (vom Handy)

 

[bluescript]

Ganz aktuell dazu auf heise.de:

http://www.heise.de/mobil/artikel/Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html

Google Maps wird hier leider nicht explizit erwähnt. Ob der Verkehr hier also über SSL läuft müßte man selbst rausfinden. Wenn das Android-Phone z.B. im lokalen WLAN eingeloggt ist, kann man sich etwa auf einem unter DD-WRT laufenden Router die offenen Verbindungen mit zugehörigen Ports anschauen...

 

[ace-drink]

Oh vielen dank. Wird gleich gelesen.

Hoff ich krieg keinen Herzinfarkt :-)

EDIT: Ok gelesen. Ist ja schonmal schön, dass die ganzen google Sachen "sicher" sind. Besonders die Mail und Kalender App waren mir da wichtig. Beruhigt mich schonmal.
Das einzige was mich persönlich trifft ist, dass Dropbox nicht ganz sauber arbeitet und facebook nen totalschaden produziert hat. Bleibt halt doch nur das VPN in völlig fremden Netzen, wenn man alles nutzen will ohne jedes mal sein Passwort wieder ändern zu müssen. (wenn nur perfect privacy nicht so teuer wär :-( )

 

[Gohst]

Kleiner Hinweis:

Selbst die beste verschlüsselung mit AES und 256 Bit nütz nix wenn die Keys in der 1 Phase ausgetauscht werden. (gerade auch bei SSL soweit mir bekannt)

Dann kann ich schön "man in the middle" spiele im Netzwerk und alles abgreifen...
Dazu ist aber ARP Spoofing / DNS Cache Spoofing nötig.

Also kurz gesagt: egal wie, in einem fremden Netzwerk ist man theoretisch nie sicher.
Aber eben, ich will keine Paranoia fördern, ist doch eh wayne da Chance <0.001% oder so xD

Ausser im 3G Netz, da kann man nicht man in the middle spielen.
Das kann dann nur jemander der direkt beim Provider drin ist (und das wäre auch unwahrscheinlich).

 

[ace-drink]

hmm mach mich net verrückt. Steht im dem Heise nicht auch was davon, dass eben genau die von dir genannten ARP/ Spoofing nicht gehen, zumindest bei den Google eigenen Diensten. So hab ich das verstanden

 

[Boeby]

Wenn die App das Zertifikat nicht überprüft, dann ist es ohne Probleme möglich Man in the middle zu spielen..
Ich habe das auch schon getestet..
Leider überprüft aber die Swisscom Xtrazone App für Iphone das Zertifikat und lässt sich mit einem gefälschten nicht zum senden bringen.. ...

Das gilt dann über WLAN. Im mobilen Netz (GPRS, UMTS, HDSPA) sind angreifsmuster bekannt, aber sehr umständlich, schwierig und noch sehr teuer. Dass heisst im mobilen Netz bist du noch "quasi"-sicher..
Wie im Heise-Artikel auf erster Seite steht, wird auch dieser Bereich zunehmend unsicherer..

 

[ace-drink]

ja ok in dem Artikel steht aber doch das die Google Apps die Zertifikate prüfen. Also sind diese doch in sofern als sicher einzustufen

 

[Boeby]

@ace-drink

edit: Ja die Google Dienste scheinen laut Artikel sicher zu sein. (Selber habe ich das nicht getestet..)


Mach dich nicht verrückt.. Klar als Nutzer hätte man gerne dass vollkommen alles verschlüsselt wäre.. (dann bräuchtest du aber auch einen schnelleren Prozessor in deinem Smartphone..)
SSL geht immer auf kosten der CPU.. Und dass Firmen wie Dropbox nicht alles verschlüsseln versteh ich..

Was mich nach dem lesen des Artikels stören würde, ist dass Twitter anscheinend vollkommen nichts verschlüsselt (fahrlässig!). Dropbox könnte wenigstens die kleinen Dateien (Textdateien) verschlüsseln.. Aber naja..

Auf der DropBox Webseite steht zwar (gilt wohl nur für Desktop-Clients..) :

All transmission of file data and metadata occurs over an encrypted channel (SSL).

Quelle: Im Security-Bereich https://www.dropbox.com/features

Alles muss nicht verschlüsselt sein.. Hier surfst du ja auch unverschlüsselt.. Aber wichtiges wird ja hier auch nicht besprochen..