Dok neki mogu provesti svoje vikende ležeći na bazenu ili na rođendanskim zabavama mališana, neki sjede i sjede. Drago nam je u ovom slučaju, budući da je Cory (naš administrator foruma Android centralnog foruma) pronašao nešto na što dobar broj nas treba biti oprezan - u mnogim slučajevima vaše se lozinke pohranjuju kao običan tekst u unutarnjim bazama podataka. Proveli smo dobar dio naše subote u pronalaženju problema, pretraživanju Googleovih stranica o pogreškama kodova, testiranju različitih telefona koji pokreću razne ROM-ove, pa čak i pozivanju stručnjaka za pojašnjenje. Pritisnite pauzu da vidite što je pronađeno i na što biste trebali gledati ako ste ugradili telefon. I veliki rekviziti za Cory!
Da budemo jasni, to utječe samo na ukorijenjene korisnike. To je također sjajan razlog zašto ističemo dodatne odgovornosti koje dolaze s pokretanjem ukorijenjenog OS-a na vašem telefonu. Ako se niste ukorijenili, ovo posebno pitanje neće utjecati na vas, ali svejedno je vrijedno pročitati ako samo usmjerite svoj um da to nije korijenje pravi izbor.
Odvojite trenutak i pročitajte sva naša otkrića koja je Cory ovdje vrlo lijepo nabrojala. Sažeto ću zaključiti: Određene aplikacije, uključujući klijent e-pošte Froyo (Android 2.2), pohranjuju vaše korisničko ime i lozinku kao običan tekst u internu bazu podataka internih računa. To uključuje račune POP i IMAP pošte, kao i Exchange račune (što bi moglo predstavljati veći problem ako se radi o podacima za prijavu na vašu domenu). Prije nego što kažemo da pada nebo, ako vaš telefon nije ukorijenjen, nijedna aplikacija to ne može pročitati. To smo čak i potvrdili s Kevinom McHaffeyjem, suosnivačem i CTO of Lookout - koji je uvijek spreman pružiti ruku tamo gdje je sigurnost mobilne telefonije, čak i vikendom. Evo njegovog shvaćanja situacije:
"Datoteka account.db pohranjuje uslugu android sustava za centralno upravljanje vjerodajnicama računa (npr. Korisnička imena i lozinke) za aplikacije. Dozvola u bazi podataka računa trebala bi datoteku učiniti dostupnom (tj. Čitati + pisati) na Korisnik sustava. Nijedna aplikacija trećih strana ne smije biti u mogućnosti izravno pristupiti datoteci. Razumijem da su lozinke ili tokeni za provjeru autentičnosti dopušteni pohranjivanju u običnom tekstu jer je datoteka zaštićena strogim dozvolama. Također, neke usluge (npr. Gmail) pohranjuju se tokeni za autentifikaciju umjesto lozinki ako ih usluga podržava, minimizirajući rizik od ugrožavanja lozinke korisnika.
Bilo bi vrlo opasno da aplikacije trećih strana mogu čitati ovu datoteku, zbog čega je vrlo važno biti oprezan prilikom instaliranja aplikacija za koje je potreban pristup root-u. Mislim da je važno da svi korisnici koji iskoriste svoje telefone razumiju da aplikacije koje se izvode kao root imaju * potpuni * pristup vašem telefonu, uključujući podatke o vašem računu.
Ako bi baza podataka računa bila dostupna korisnicima izvan sustava (npr. Vlasništvo korisnika ili grupe nad datotekom nešto drugo osim „sustav“ ili privilegije za čitanje u svijetu na datoteci), bila bi to velika sigurnosna ranjivost. “
Da pojednostavimo ovo, Android je postavljen tako da aplikacije ne mogu čitati baze podataka s kojima nisu povezane. Ali jednom kad pružite alate za aplikacije koje se pokreću kao root, sve se to mijenja. Ne samo da netko s fizičkim pristupom vašem telefonu može pregledati te datoteke i eventualno dobiti vaše vjerodajnice za prijavu, mogao bi se napraviti i vrlo gadan zlonamjerni softver koji radi istu stvar i podatke pošalje kući. U divljini nismo pronašli nijednu takvu aplikaciju, ali budite vrlo pažljivi (kao i uvijek) aplikacija koje instalirate i pročitajte ta dopuštenja aplikacija!
Iako ovo ne zabrinjava ogromnu većinu korisnika, bilo bi poželjno da se ti unosi kodiraju u budućim Androidovim verzijama. Ispostavilo se da netko drugi misli tako, a tu je i unos na Googleovim stranicama s Androidovim problemima, na koje zainteresirane strane mogu biti informirane o tome kao i pregledati popis.
To sigurno ne želimo raznijeti, ali znanje je moć u ovakvim situacijama. Ako ste ugradili taj sjajni novi Android telefon, poduzmite nekoliko dodatnih mjera opreza da biste ostali sigurni.
