The standard Android applications for mail, calendar, contacts etc. can synchronize against SSL-protected servers but have no option to check their certificate. Basically, it is possible to either check if the certificate is issued by one of the standard (before Android 4.0, not user-editable) CAs, or not check them at all. This is not enough to reliably assert the identity of the server, which presents the risk of giving sensitive information (account passwords) to the wrong server. This problem is especially important when the server is on a semi-permament connection and found via dynamic DNS, uses self-signed or private-CA certificates, or when using public WiFi hotspots (which are rather trivial to fake and therefore are a regular MitM-attack vector).
This app checks in configurable intervals if a given HTTPS URL is reachable and the server identifies itself with the right certificate. It consists of a home screen widget displaying the status with colored "signal lights":
* green, if the connection is okay
* yellow, when a check is underway
* red, when the server is unreachable
* double red, when the server gives errors or fails certificate checking
* small white, when checking is not needed
When checking and when an error happens, the global synchronization setting is turned off. This way you should be reasonably safe that the synchronization does not try to connect to a server whose identity is not verified, given it is the same server as the one you check.
This is an open source (GPL) app. Source and further documentation is available via my Web site.
Permissions needed:
INTERNET - connect to your server (nowhere else)
ACCESS_NETWORK_STATE - determine your connection (WLAN, mobile...) to find out if checking is needed
READ_SYNC_SETTINGS, WRITE_SYNC_SETTINGS - turn sync off on checking or error
RECEIVE_BOOT_COMPLETED - automatic start (if possible, depending on Android version)
READ_EXTERNAL_STORAGE - read certificates from memory or SD card
Os aplicativos do Android padrão para e-mail, calendário, contatos etc. pode sincronizar contra servidores protegidas por SSL, mas não tem nenhuma opção para verificar o seu certificado. Basicamente, é possível quer verificar se o certificado é emitido por um dos standard (antes Android 4.0, não pelo usuário editável) CAs, ou não vê-los a todos. Isso não é suficiente para afirmar com segurança a identidade do servidor, que apresenta o risco de dar informações confidenciais (senhas de conta) para o servidor errado. Este problema é especialmente importante quando o servidor estiver em uma conexão semi-permament e encontrou via DNS dinâmico, utiliza certificados auto-assinados ou CA-privada, ou ao usar hotspots WiFi públicos (que são bastante trivial para falso e, portanto, são um MitM regulares vetor -attack).
Este aplicativo verifica em intervalos configuráveis se uma determinada URL HTTPS é alcançável eo servidor identifica-se com o certificado de direito. Ele consiste em um widget da tela inicial a indicação do estado com cor "luzes de sinalização":
* Verde, se a conexão está bem
* Amarelo, quando a seleção está em andamento
* Vermelho, quando o servidor está inacessível
* Duplo vermelho, quando o servidor dá erros ou não verificação certificado
* Branco pequeno, quando a verificação não é necessária
Ao verificar e quando um erro acontece, a configuração de sincronização global está desligado. Desta forma, você deve estar razoavelmente seguro de que a sincronização não tentar se conectar a um servidor, cuja identidade não é verificado, uma vez que é o mesmo servidor como aquele que você vá.
Este é um aplicativo open source (GPL). Fonte e mais documentação está disponível através do meu site.
As permissões necessárias:
INTERNET - conectar ao seu servidor (em nenhum outro lugar)
ACCESS_NETWORK_STATE - determinar a sua ligação sem fios (WLAN, mobile ...) para saber se é necessária a verificação
READ_SYNC_SETTINGS, WRITE_SYNC_SETTINGS - Turn off sync na verificação ou erro
RECEIVE_BOOT_COMPLETED - partida automática (se possível, dependendo da versão do Android)
READ_EXTERNAL_STORAGE - leia certificados de memória ou cartão SD