Докато някои могат да прекарат уикендите си, излежаващи се край басейна или на партита за рожден ден на малко дете, някои седят и хакнат. Радваме се в този случай, тъй като Кори (нашият администратор на Android Central Forums) намери нещо, за което трябва да внимаваме доста от нас - в много случаи паролите ви се съхраняват като обикновен текст във вътрешни бази данни. Прекарахме добра част от нашата събота, проследявайки проблемите, претърсвайки страниците с кодове на Google, тествайки различни телефони, работещи с различни ROM, и дори призовахме професионалистите за разяснения. Натиснете почивката, за да видите какво е намерено и какво може да трябва да гледате, ако сте вкоренили телефона си. И големи реквизити на Кори!
За да бъде ясно, това се отразява само на вкоренени потребители. Това е и чудесна причина, поради която подчертаваме допълнителните отговорности, които идват с пускането на вкоренена ОС на вашия телефон. Ако не сте се вкоренили, този конкретен проблем няма да ви засегне, но все пак си струва да прочетете, ако само да поставите ума си спокойно, че не вкореняването е правилният избор.
Отделете малко и прочетете всички наши открития, които Кори изброи доста добре тук. Ще обобщя: Някои приложения, включително електронния имейл клиент Froyo (Android 2.2), съхраняват вашето потребителско име и парола като обикновен текст във вътрешната база данни на телефона. Това включва POP и IMAP пощенски акаунти, както и акаунти в Exchange (които биха могли да създадат по-голям проблем, ако това е и информацията за вход във вашия домейн). Преди да кажем, че небето пада, ако телефонът ви не се корени, никое приложение не може да го прочете. Дори потвърдихме това с Кевин Макфафи, съосновател и CTO на Lookout - който винаги е готов да даде ръка, когато става въпрос за мобилна сигурност, дори и през уикенда. Ето неговото отношение към ситуацията:
„Файлът account.db се съхранява от система за андроид система за централизирано управление на идентификационните данни на акаунта (напр. Потребителски имена и пароли) за приложения. По подразбиране разрешенията в базата данни на акаунти трябва да правят файла достъпен само (т.е. четене и запис) на системен потребител. Никакви приложения на трети страни не трябва да могат да имат директен достъп до файла. Разбрах, че паролите или маркерите за удостоверяване са позволени да се съхраняват в обикновен текст, тъй като файлът е защитен от строги разрешения. Също така някои услуги (например Gmail) съхраняват маркери за автентификация вместо пароли, ако услугата ги поддържа, свеждайки до минимум риска от нарушаване на паролата на потребителя.
Би било много опасно приложенията на трети страни да могат да четат този файл, поради което е много важно да бъдете внимателни, когато инсталирате приложения, които изискват root достъп. Мисля, че е важно всички потребители, които използват корен, да разберат, че приложенията, работещи като root, имат * пълен * достъп до телефона ви, включително информацията за вашия акаунт.
Ако базата данни на акаунти трябваше да бъде достъпна за несистемни потребители (напр. Собственост на потребител или група върху файла нещо различно от „система“ или привилегии за четене по целия свят), това би било голяма уязвимост на сигурността. “
Казано по-просто, Android е настроен така, че приложенията да не могат да четат бази данни, с които не са свързани. Но след като предоставите инструментите за приложения, които да стартират като root, всичко това се променя. Не само някой, който има физически достъп до телефона ви, може да погледне тези файлове и евентуално да получи вашите данни за вход, може да се направи много гаден зловреден софтуер, който прави същото и да изпраща данните обратно у дома. Не открихме случаи на подобни приложения навън, но бъдете много внимателни (както винаги) на инсталираните от вас приложения и прочетете тези разрешения за приложение!
Въпреки че това не е проблем за огромното мнозинство от потребители, за предпочитане е тези записи да бъдат криптирани в бъдещи версии на Android. Оказва се, че някой друг мисли така и на страниците с проблеми с Android на Google има запис, на който заинтересованите страни могат да играят звезда, за да бъдат информирани за него, както и да го прехвърлят в списъка.
Ние със сигурност не искаме да раздухваме това от пропорция, но знанието е сила в подобни ситуации. Ако сте вкоренили този лъскав нов Android телефон, вземете няколко допълнителни предпазни мерки, за да сте в безопасност.
