Podczas gdy niektórzy mogą spędzać weekendy, odpoczywając przy basenie lub na przyjęciach urodzinowych dla małych dzieci, niektórzy siedzą i siekają. Cieszymy się w tym przypadku, ponieważ Cory (nasz administrator forów centralnych Androida) znalazł coś, o co spora liczba z nas powinna uważać - w wielu przypadkach twoje hasła są przechowywane jako wewnętrzny tekst w wewnętrznych bazach danych. Dużą część naszej soboty spędziliśmy na śledzeniu problemów, przeglądaniu stron z błędami kodu Google, testowaniu różnych telefonów z różnymi ROM-ami, a nawet dzwonieniu do profesjonalistów w celu wyjaśnienia. Naciśnij przerwę, aby zobaczyć, co zostało znalezione, i na co możesz uważać, jeśli zrootowałeś swój telefon. I wielkie rekwizyty dla Cory'ego!
Żeby było jasne, dotyczy to tylko zrootowanych użytkowników. To także świetny powód, dla którego podkreślamy dodatkowe obowiązki związane z uruchamianiem zrootowanego systemu operacyjnego na telefonie. Jeśli nie zostałeś zrootowany, ten konkretny problem nie wpłynie na ciebie, ale nadal warto go przeczytać, aby uspokoić umysł, że nie rootowanie było właściwym wyborem.
Poświęć chwilę i zapoznaj się z naszymi odkryciami, które Cory wymienił całkiem nieźle tutaj. Podsumuję: niektóre aplikacje, w tym podstawowy klient poczty e-mail Froyo (Android 2.2), przechowują nazwę użytkownika i hasło jako zwykły tekst w wewnętrznej bazie danych kont telefonu. Dotyczy to kont pocztowych POP i IMAP, a także kont Exchange (co może stanowić większy problem, jeśli są to również dane logowania do domeny). Teraz, zanim powiemy, że niebo spada, jeśli Twój telefon nie jest zrootowany, żadna aplikacja nie może tego odczytać. Potwierdziliśmy to nawet z Kevinem McHaffeyem, współzałożycielem i dyrektorem technicznym Lookout - który zawsze jest gotowy pomóc w kwestiach bezpieczeństwa mobilnego, nawet w weekend. Oto jego spojrzenie na sytuację:
„Plik account.db jest przechowywany przez usługę systemową Androida w celu centralnego zarządzania poświadczeniami konta (np. Nazwami użytkowników i hasłami) dla aplikacji. Domyślnie uprawnienia do bazy danych kont powinny umożliwiać dostęp do pliku (tj. Odczyt i zapis) do pliku użytkownik systemu. Żadne aplikacje innych firm nie powinny mieć bezpośredniego dostępu do pliku. Rozumiem, że hasła lub tokeny uwierzytelniające mogą być przechowywane w postaci zwykłego tekstu, ponieważ plik jest chroniony ścisłymi uprawnieniami. Ponadto niektóre usługi (np. Gmail) przechowują tokeny uwierzytelniające zamiast haseł, jeśli usługa je obsługuje, minimalizując ryzyko naruszenia hasła użytkownika.
Odczytywanie tego pliku przez aplikacje innych firm byłoby bardzo niebezpieczne, dlatego bardzo ważne jest zachowanie ostrożności podczas instalowania aplikacji wymagających dostępu do konta root. Myślę, że ważne jest, aby wszyscy użytkownicy rootujący swoje telefony wiedzieli, że aplikacje działające jako root mają * pełny * dostęp do twojego telefonu, w tym do informacji o Twoim koncie.
Gdyby baza danych kont była dostępna dla użytkowników niesystemowych (np. Posiadanie pliku przez użytkownika lub grupę, coś innego niż „system” lub uprawnienia do odczytu pliku), byłaby to duża luka w zabezpieczeniach. ”
Mówiąc prościej, system Android jest skonfigurowany tak, aby aplikacje nie mogły czytać baz danych, z którymi nie są powiązane. Ale kiedy dostarczysz narzędzia do uruchamiania aplikacji jako root, wszystkie te zmiany się zmieniają. Nie tylko ktoś z fizycznym dostępem do twojego telefonu może spojrzeć na te pliki i ewentualnie uzyskać twoje dane logowania, może powstać bardzo nieprzyjemny szkodliwy program, który robi to samo i wysyła dane z powrotem do domu. Nie znaleźliśmy żadnych takich aplikacji na wolności, ale bądź bardzo ostrożny (jak zawsze) w instalowanych aplikacjach i przeczytaj te uprawnienia aplikacji!
Chociaż nie stanowi to problemu dla zdecydowanej większości użytkowników, lepiej byłoby zaszyfrować te wpisy w przyszłych wersjach Androida. Okazuje się, że ktoś tak myśli, a na stronach Google poświęconych problemom z Androidem znajduje się wpis, który zainteresowane strony mogą oznaczać gwiazdką, aby być o tym informowanym, a także podnieść listę.
Z pewnością nie chcemy wysadzić tego z proporcji, ale wiedza jest potęgą w takich sytuacjach. Jeśli zrootowałeś ten błyszczący nowy telefon z Androidem, podejmij kilka dodatkowych środków ostrożności, aby zachować bezpieczeństwo.
