Mens nogle måske tilbringer deres weekender ved at slappe af ved svømmepølen eller på fødselsdagsfest til småbørn, sidder nogle og hacker. Vi er glade i dette tilfælde, da Cory (vores Android Central Forums-administrator) fandt noget, som et godt antal af os er nødt til at være forsigtige med - i mange tilfælde gemmes dine adgangskoder som almindelig tekst i interne databaser. Vi brugte en god del af vores lørdag på at spore problemerne, skure Googles sider med kodebugs, teste forskellige telefoner, der kører forskellige ROM'er, og endda kalde profferne til afklaring. Tryk på pausen for at se, hvad der blev fundet, og hvad du muligvis skal se efter, hvis du har rodet din telefon. Og store rekvisitter til Cory!
For at være klar påvirker dette kun rodfæstede brugere. Det er også en god grund til, at vi understreger de ekstra ansvar, der følger med at køre et rodfæstet operativsystem på din telefon. Hvis du ikke har rodfæstet, vil dette særlige emne ikke have nogen indflydelse på dig, men det er stadig værd at læse, hvis det kun er for at gøre dit sind roligt, at ikke rodfæstelse var det rigtige valg.
Tag et øjeblik og læse alle vores fund, som Cory har opført ret pænt lige her. Jeg opsummerer: Visse applikationer, inklusive Froyo (Android 2.2) e-mail-klient, gemmer dit brugernavn og din adgangskode som almindelig tekst i telefonens interne kontoudatabase. Dette inkluderer POP- og IMAP-mailkonti samt Exchange-konti (som kan udgøre et større problem, hvis det også er dine domæne-loginoplysninger). Før vi siger, at himlen falder, hvis din telefon ikke er rodfæstet, er intet program i stand til at læse dette. Vi bekræftede endda dette med Kevin McHaffey, medstifter og CTO for Lookout - som altid er klar til at give en hånd, hvad angår mobilsikkerhed, også i weekenden. Her er hans holdning til situationen:
"Filen accounts.db gemmes af en android-systemtjeneste til centralt at styre kontooplysninger (f.eks. Brugernavne og adgangskoder) til applikationer. Som standard skal tilladelserne i kontodatabasen gøre filen kun tilgængelig (dvs. læse + skrive) til systembruger. Ingen tredjepartsapplikationer skal være i stand til direkte adgang til filen. Min forståelse er, at adgangskoder eller autentificeringstokener kan gemmes i almindelig tekst, fordi filen er beskyttet af strenge tilladelser. Også nogle tjenester (f.eks. Gmail) gemmer autentificeringstokener i stedet for adgangskoder, hvis tjenesten understøtter dem, hvilket minimerer risikoen for, at en brugers adgangskode bliver kompromitteret.
Det ville være meget farligt for tredjepartsapplikationer at kunne læse denne fil, hvorfor det er meget vigtigt at være forsigtig, når du installerer applikationer, der kræver root-adgang. Jeg synes, det er vigtigt for alle brugere, der rodder deres telefoner at forstå, at apps, der kører som root, har * fuld * adgang til din telefon, inklusive dine kontooplysninger.
Hvis kontodatabasen skulle være tilgængelig for ikke-systembrugere (f.eks. Bruger- eller gruppeejerskab af filen noget andet end "system" eller verdenslæseprivilegier på filen), ville det være en stor sikkerhedssårbarhed."
For at sætte dette i enklere termer er Android konfigureret, så apps ikke kan læse databaser, de ikke er tilknyttet. Men når du har leveret værktøjer til applikationer, der skal køre som root, ændres alt dette. Ikke kun kan nogen med fysisk adgang til din telefon se på disse filer og muligvis få dine login-legitimationsoplysninger, der kan laves et meget grimt stykke malware, der gør det samme og sender dataene hjem. Vi fandt ingen tilfælde af apps som dette ude i naturen, men vær meget forsigtig (som altid) med de applikationer, du installerer, og læs disse applikationstilladelser!
Selvom dette ikke er et problem for langt de fleste brugere, ville det være at foretrække at kryptere disse poster i fremtidige Android-bygninger. Det viser sig, en anden synes det, og der er en indgang på Googles sider med Android-emner, som interesserede parter kan stirre for at holde sig informeret om det såvel som at ramme det op på listen.
Vi ønsker bestemt ikke at sprænge dette ud af proportioner, men viden er magt i situationer som dette. Hvis du har forankret den skinnende nye Android-telefon, skal du tage et par ekstra forholdsregler for at forblive i sikkerhed.
