Míg egyesek hétvégéjukat a medence melletti pihenésen vagy kisgyermek születésnapi partiján tölthetik, mások ülnek és csapkodnak. Örülünk ebben az esetben, mivel a Cory (az Android központi fórumának adminisztrátora) talált valamit, amelyben nagyon sokannak kell vigyázniuk - sok esetben a jelszavakat egyszerű szövegként tárolják a belső adatbázisokban. Szombatunk egy jó részét a problémák nyomon követésével, a Google kódhiba-oldalainak mosásával, a különféle ROM-okat futtató különféle telefonok tesztelésével és még a profik felkérésével tisztáztuk. Találja meg a szünetet, hogy megnézze, mi található, és mire kell figyelnie, ha gyökerezi a telefonját. És nagy kellékeket Cory-nak!
A világosság kedvéért ez csak a gyökerező felhasználókat érinti. Ez egy nagyszerű ok, amiért hangsúlyozzuk a telefonon gyökerező operációs rendszer futtatásával járó extra felelősségeket. Ha még nem gyökerezik, ez a konkrét kérdés nem érinti Önt, de érdemes elolvasni, ha csak megkönnyíti a gondolatait, hogy a gyökeresedés nem volt a helyes választás.
Szánjon egy pillanatra és olvassa el az összes eredményünket, amelyeket Cory nagyon szépen felsorolt itt. Összefoglalom: Egyes alkalmazások, köztük a Froyo (Android 2.2) e-mail kliens, felhasználónevét és jelszavát szöveges formában tárolják a telefon belső számlák adatbázisában. Ez magában foglalja a POP és az IMAP e-mail fiókokat, valamint az Exchange fiókokat (ami nagyobb problémát okozhat, ha ez szintén a domain bejelentkezési adata). Most, mielőtt azt mondjuk, hogy az ég leesik, ha a telefon nem gyökerezik, egyetlen alkalmazás sem képes ezt elolvasni. Ezt Kevin McHaffey-vel, a Lookout társalapítójával és műszaki vezetőjével is megerősítettük - aki mindig kész a kezét a hétvégén is nyújtani a mobil biztonság szempontjából. Itt van a helyzete:
"Az Accounts.db fájlt egy android rendszerszolgáltatás tárolja az alkalmazások fiókok hitelesítő adatainak (pl. Felhasználónevek és jelszavak) központi kezelésére. Alapértelmezés szerint a fiókok adatbázisának engedélyei lehetővé teszik, hogy a fájl csak a hozzáférhető legyen (azaz olvasás + írás) a rendszerfelhasználó. Semmilyen harmadik féltől származó alkalmazásnak nem szabad hozzáférnie a fájlhoz. Úgy gondolom, hogy a jelszavakat vagy a hitelesítő tokeneket egyszerű szövegben lehet tárolni, mert a fájlt szigorú engedélyek védik. Szintén egyes szolgáltatások (pl. Gmail) tárolása jelszavak helyett hitelesítő tokenek, ha a szolgáltatás támogatja őket, minimalizálva annak kockázatát, hogy a felhasználó jelszavainak sérülése veszélybe kerül.
Nagyon veszélyes lenne, ha harmadik féltől származó alkalmazások elolvashatják ezt a fájlt, ezért nagyon fontos, hogy legyen óvatos, ha root alkalmazást igénylő alkalmazásokat telepítünk. Úgy gondolom, hogy minden olyan felhasználó számára, aki gyökerezi a telefonját, fontos megérteni, hogy a rootként futó alkalmazások * teljes * hozzáféréssel rendelkeznek telefonjához, beleértve a fiókja adatait is.
Ha a fiókok adatbázisa nem rendszerhasználók számára is hozzáférhető lenne (pl. A fájl felhasználói vagy csoporttulajdonában valami más, mint a fájl „rendszer” vagy világolvasási jogosultságai), akkor nagy biztonsági rést jelent."
Mindezt egyszerűbben fogalmazva: az Android úgy van beállítva, hogy az alkalmazások nem tudják olvasni azokat a adatbázisokat, amelyekhez nincs társítva. De amint megadja az eszközöknek az root felhasználóként történő futtatásához szükséges eszközöket, ez megváltozik. A telefonhoz fizikai hozzáféréssel rendelkező személyek nem csak megnézhetik ezeket a fájlokat, és esetleg megszerezhetik a bejelentkezési hitelesítő adatait, hanem egy nagyon csúnya rosszindulatú program is elkészíthető, amely ugyanazt csinálja, és az adatokat haza küldi. Nem találtunk ilyen alkalmazások példányait vadonban, de legyen nagyon óvatos (mint mindig) a telepített alkalmazásokkal, és olvassa el az alkalmazás engedélyeket!
Noha ez a felhasználók túlnyomó többségét nem érinti, jobb lenne ezeket a bejegyzéseket a jövőbeni Android-verziókban titkosítani. Kiderült, hogy valaki más így gondolja, és a Google Android kiadási oldalain található egy bejegyzés, amelyet az érdekelt felek csillaggal jelölhetnek, hogy folyamatosan tájékozódjanak róla, és összeállítsák a listát.
Természetesen nem akarjuk ezt kiszűrni az arányból, de az ismeretek hatalmasak az ilyen helyzetekben. Ha gyökereztette ezt a fényes új Android telefont, hajtson végre néhány további óvintézkedést a biztonság érdekében.
