Док неки могу провести своје викенде забављајући се поред базена или на рођенданским забавама малишана, неки сједе и сједе. Драго нам је у овом случају, јер је Цори (наш администратор форума Андроид централног форума) пронашао нешто на што добар број нас треба бити опрезан - у многим случајевима се ваше лозинке чувају као обичан текст у унутрашњим базама података. Добар део наше суботе провели смо у проналажењу проблема, претраживању Гооглеових страница о грешкама кодова, тестирању разних телефона који користе разне РОМ-ове, па чак и позивању стручњака за појашњење. Притисните паузу да видите шта је пронађено и на шта бисте могли да пазите ако сте уградили телефон. И велики реквизити за Цори!
Да будемо јасни, то утиче само на укоријењене кориснике. То је такође сјајан разлог зашто истичемо додатне одговорности које долазе с покретањем укоријењеног ОС-а на вашем телефону. Ако се нисте укоријенили, ово посебно питање неће утјецати на вас, али свеједно је вриједно прочитати ако само олакшате свој ум да није укоријењивање био прави избор.
Одвојите тренутак и прочитајте сва наша открића која је Цори овде лепо навела. Сумирам: Одређене апликације, укључујући е-маил клијент Фроио (Андроид 2.2), чувају ваше корисничко име и лозинку у облику обичног текста у интерној бази података рачуна. Ово укључује рачуне ПОП и ИМАП поште, као и Екцханге рачуне (што би могло представљати већи проблем ако се ради о подацима за пријаву на ваш домен). Сада пре него што кажемо да пада небо, ако се ваш телефон не укоријени, ниједна апликација то не може прочитати. То смо чак и потврдили са Кевином МцХаффеијем, суоснивачем и ЦТО оф Лоокоут-а, који је увек спреман пружити руку тамо где је безбедност мобилне телефоније, чак и викендом. Ево његовог става о ситуацији:
„Датотека аццоунт.дб се чува од андроид системског сервиса за централно управљање поверљивим подацима налога (нпр. Корисничким именима и лозинкама) за апликације. По подразумеваним дозволама у бази података рачуна требало би да датотека буде доступна (тј. Читање + писање) на Корисник система. Ниједна апликација трећих страна не би могла бити у директном приступу датотеци. Колико сам схватио, дозвољено је да се лозинке или токени за аутентификацију чувају у обичном тексту, јер је датотека заштићена строгим дозволама. Такође, неке услуге (нпр. Гмаил) чувају жетоне за аутентификацију уместо лозинки ако их услуга подржава, минимизирајући ризик од угрожавања лозинке корисника.
Било би веома опасно да апликације трећих страна могу читати ову датотеку, због чега је веома важно бити опрезан приликом инсталирања апликација за које је потребан роот приступ. Мислим да је важно да сви корисници који користе свој роот телефон разумеју да апликације које се покрећу као роот имају * потпуни * приступ вашем телефону, укључујући податке о вашем налогу.
Ако би база података рачуна била доступна корисницима који нису системски (нпр. Власништво над датотекама или групама нешто друго осим „система“ или привилегија за читање у свету на датотеци), била би то велика сигурносна рањивост. “
Да поједноставимо ово, Андроид је постављен тако да апликације не могу да читају базе података са којима нису повезане. Али једном када обезбедите алате за апликације које се покрећу као роот, све се то мења. Не само да неко ко има физички приступ вашем телефону може да погледа ове датотеке и евентуално прибави ваше поверљиве податке за пријаву, може се направити и веома гадан штетни софтвер који ради исту ствар и податке пошаље натраг кући. Нисмо пронашли ниједну копију таквих апликација, али будите веома пажљиви (као и увек) апликација које инсталирате и прочитајте та дозвола за апликације!
Иако ово не забрињава велику већину корисника, било би пожељно да се ти уноси шифрирају у будућим Андроидовим верзијама. Испада да неко други мисли тако, а на Гоогле-овим страницама о Андроид-у постоји унос на који заинтересоване стране могу да се информишу о томе, као и да га пребаце на листу.
Свакако не желимо ово размјерити, али знање је моћ у оваквим ситуацијама. Ако сте уградили тај сјајни нови Андроид телефон, подузмите неколико додатних мера предострожности да бисте остали безбедни.
