Ενώ μερικοί μπορεί να περάσουν τα σαββατοκύριακα τους ξαπλώνοντας δίπλα στην πισίνα ή σε πάρτι γενεθλίων μικρών παιδιών, μερικοί κάθονται και να χαλαρώσουν. Είμαστε ευτυχείς σε αυτή την περίπτωση, καθώς ο Cory (ο κεντρικός μας διαχειριστής του Android Forum) βρήκε κάτι που πρέπει να προσέξουμε πολλοί από εμάς - σε πολλές περιπτώσεις οι κωδικοί πρόσβασης αποθηκεύονται ως απλό κείμενο σε εσωτερικές βάσεις δεδομένων. Περάσαμε ένα μεγάλο μέρος του Σαββάτου που παρακολουθούσαμε τα προβλήματα, κάνοντας σάρωση στις σελίδες των σφαλμάτων κώδικα της Google, δοκιμάζοντας διάφορα τηλέφωνα που χρησιμοποιούσαν διάφορες ROM, και μάλιστα καλώντας στα πλεονεκτήματα για διευκρινίσεις. Χτυπήστε το διάλειμμα για να δείτε τι βρέθηκε και τι μπορεί να χρειαστεί να προσέξετε αν έχετε ριζώσει το τηλέφωνό σας. Και μεγάλα στηρίγματα στο Cory!
Για να είμαστε σαφείς, αυτό επηρεάζει μόνο τους ριζωμένους χρήστες. Είναι επίσης ένας πολύ καλός λόγος για τον οποίο τονίζουμε τις πρόσθετες ευθύνες που έρχονται με τη λειτουργία ενός βασικού λειτουργικού συστήματος στο τηλέφωνό σας. Εάν δεν έχετε ριζώσει, αυτό το συγκεκριμένο ζήτημα δεν θα σας επηρεάσει, αλλά αξίζει ακόμα να διαβάσετε αν μόνο για να θέσετε το μυαλό σας άνετα δεν είναι η ριζοβολία η σωστή επιλογή.
Πάρτε μια στιγμή και διαβάστε όλα τα ευρήματά μας, τα οποία ο Cory έχει παραθέσει αρκετά ωραία εδώ. Θα συνοψίσω: Ορισμένες εφαρμογές, συμπεριλαμβανομένου του αποθέματος ηλεκτρονικού ταχυδρομείου Froyo (Android 2.2), αποθηκεύστε το όνομα χρήστη και τον κωδικό πρόσβασης ως απλό κείμενο στη βάση δεδομένων εσωτερικών λογαριασμών του τηλεφώνου. Αυτό περιλαμβάνει λογαριασμούς αλληλογραφίας POP και IMAP, καθώς και λογαριασμούς Exchange (οι οποίοι θα μπορούσαν να δημιουργήσουν μεγαλύτερο πρόβλημα αν είναι και οι πληροφορίες σύνδεσης για το domain σας). Τώρα πριν λέμε ότι ο ουρανός πέφτει, αν το τηλέφωνό σας δεν έχει ρίζες, καμία εφαρμογή δεν μπορεί να το διαβάσει. Το επιβεβαίωσαν και αυτό με τον Kevin McHaffey, τον συνιδρυτή και τον CTO του Lookout, ο οποίος είναι πάντα πρόθυμος να δανείσει ένα χέρι όπου υπάρχει ασφάλεια κινητής τηλεφωνίας, ακόμη και το σαββατοκύριακο. Εδώ είναι η λήψη του σχετικά με την κατάσταση:
"Το αρχείο accountss.db αποθηκεύεται από μια υπηρεσία συστήματος Android για να διαχειρίζεται κεντρικά τα διαπιστευτήρια λογαριασμού (π.χ. ονόματα χρηστών και κωδικούς πρόσβασης) για εφαρμογές.Από προεπιλογή, τα δικαιώματα στη βάση δεδομένων των λογαριασμών θα πρέπει να καθιστούν το αρχείο προσβάσιμο μόνο (π.χ. Δεν θα πρέπει να είναι δυνατή η άμεση πρόσβαση σε εφαρμογές τρίτων μερών.Η κατανόησή μου είναι ότι οι κωδικοί πρόσβασης ή τα αναγνωριστικά ελέγχου ταυτότητας επιτρέπεται να αποθηκεύονται σε απλό κείμενο επειδή το αρχείο προστατεύεται από αυστηρά δικαιώματα. τα μάρκες ταυτότητας αντί για τους κωδικούς πρόσβασης, αν η υπηρεσία τις υποστηρίζει, ελαχιστοποιώντας τον κίνδυνο να διακυβεύεται ο κωδικός πρόσβασης ενός χρήστη.
Θα ήταν πολύ επικίνδυνο οι εφαρμογές τρίτων να είναι σε θέση να διαβάσουν αυτό το αρχείο, γι 'αυτό είναι πολύ σημαντικό να είστε προσεκτικοί κατά την εγκατάσταση εφαρμογών που απαιτούν πρόσβαση root. Νομίζω ότι είναι σημαντικό για όλους τους χρήστες που ριζώνουν τα τηλέφωνά τους να κατανοούν ότι οι εφαρμογές που τρέχουν ως root έχουν * πλήρη * πρόσβαση στο τηλέφωνό σας, συμπεριλαμβανομένων των πληροφοριών του λογαριασμού σας.
Εάν η βάση δεδομένων των λογαριασμών θα ήταν προσβάσιμη σε χρήστες μη συστήματος (π.χ. χρήστης ή ομάδα ιδιοκτησίας του αρχείου κάτι διαφορετικό από το "σύστημα" ή τα παγκόσμια δικαιώματα ανάγνωσης στο αρχείο) θα ήταν μια μεγάλη ευπάθεια ασφαλείας ".
Για να το θέσουμε με απλούστερους όρους, το Android έχει ρυθμιστεί έτσι ώστε οι εφαρμογές να μην μπορούν να διαβάσουν βάσεις δεδομένων που δεν σχετίζονται με αυτές. Μόλις όμως παράσχετε τα εργαλεία για την εκτέλεση εφαρμογών ως root, όλα αυτά αλλάζουν. Όχι μόνο μπορεί κάποιος με φυσική πρόσβαση στο τηλέφωνό σας να εξετάσει αυτά τα αρχεία και ενδεχομένως να αποκτήσει τα διαπιστευτήριά σας σύνδεσης, θα μπορούσε να γίνει ένα πολύ άσχημο κομμάτι malware που κάνει το ίδιο πράγμα και στέλνει τα δεδομένα πίσω στο σπίτι. Δεν εντοπίσαμε στιγμιότυπα εφαρμογών όπως αυτό έξω στο φυσικό περιβάλλον, αλλά να είστε πολύ προσεκτικοί (όπως πάντα) των εφαρμογών που εγκαθιστάτε και να διαβάσετε τα δικαιώματα χρήσης αυτών των εφαρμογών!
Αν και αυτό δεν αποτελεί ανησυχία για τη συντριπτική πλειονότητα των χρηστών, θα ήταν προτιμότερο να κρυπτογραφήσετε αυτές τις καταχωρήσεις σε μελλοντικές κατασκευές Android. Αποκαλύπτει, κάποιος άλλος το σκέφτεται, και υπάρχει μια καταχώρηση στις σελίδες του Google Android θέματα, τα οποία τα ενδιαφερόμενα μέρη μπορούν να αστέρι για να μείνετε ενημερωμένοι για αυτό καθώς και χτύπημα επάνω στον κατάλογο.
Σίγουρα δεν θέλουμε να εκτοξεύσουμε αυτό το ποσοστό, αλλά η γνώση είναι δύναμη σε καταστάσεις όπως αυτό. Αν έχετε ριζώσει το λαμπερό νέο τηλέφωνο Android, πάρτε μερικές επιπλέον προφυλάξεις για να είστε ασφαλείς.
