Zatiaľ čo niektorí môžu tráviť víkendy pri ležadle pri bazéne alebo pri narodeninových oslavách pre batoľatá, iní sedia a hackujú sa. V tomto prípade sme radi, pretože Cory (náš správca Centrálnych fór systému Android) našiel niečo, o čom si musí veľký počet z nás dať pozor - v mnohých prípadoch sú vaše heslá uložené ako obyčajný text vo vnútorných databázach. Veľkú časť našej soboty sme strávili sledovaním problémov, vyhľadávaním stránok s kódovými chybami Google, testovaním rôznych telefónov s rôznymi ROM a dokonca aj prosbou o objasnenie. Ak sa chcete dozvedieť, čo sa našlo a čo by ste mali potrebovať, aby ste zistili, či ste zakorenili telefón, kliknite na prestávku. A veľké rekvizity pre Cory!
Aby sme to vyjasnili, to sa týka iba zakorenených používateľov. Je to tiež vynikajúci dôvod, prečo zdôrazňujeme ďalšie povinnosti, ktoré so sebou prináša prevádzka zakoreneného OS na telefóne. Ak ste sa nezakorenili, tento konkrétny problém vás neovplyvní, ale stále stojí za prečítanie, aj keď len upokojiť vašu myseľ, že nie je správne zakorenenie.
Nájdite si chvíľku a prečítajte si všetky naše zistenia, ktoré tu Cory uviedla celkom pekne. Zhrniem: Niektoré aplikácie vrátane základného e-mailového klienta Froyo (Android 2.2) ukladajú vaše používateľské meno a heslo ako obyčajný text do internej databázy účtov telefónu. Patria sem poštové účty POP a IMAP, ako aj účty Exchange (čo by mohlo predstavovať väčší problém, ak sa jedná aj o prihlasovacie informácie k vašej doméne). Predtým, ako povieme, že obloha padá, ak váš telefón nemá korene, žiadna aplikácia to nedokáže prečítať. Potvrdili sme to dokonca aj s Kevinom McHaffeyom, spoluzakladateľom a technickým riaditeľom spoločnosti Lookout - ktorý je vždy pripravený požičať ruku, pokiaľ ide o mobilnú bezpečnosť, a to aj cez víkend. Tu je jeho pohľad na situáciu:
„Súbor accounts.db je uložený systémovou službou Android, aby centrálne spravoval poverenia účtov (napr. Užívateľské mená a heslá) pre aplikácie. V predvolenom nastavení by povolenia v databáze účtov mali tento súbor sprístupňovať iba (tj čítať a zapisovať) do žiadny používateľ tretej strany by nemal mať priamy prístup k súboru. Rozumiem tomu, že heslá alebo autentifikačné tokeny sa môžu ukladať v čistom texte, pretože súbor je chránený prísnymi povoleniami. Niektoré služby (napr. Gmail) tiež ukladajú autentifikačné tokeny namiesto hesiel, ak ich služba podporuje, čím sa minimalizuje riziko ohrozenia hesla používateľa.
Pre aplikácie tretích strán by bolo veľmi nebezpečné čítať tento súbor, preto je veľmi dôležité byť opatrný pri inštalácii aplikácií, ktoré vyžadujú prístup root. Myslím si, že je dôležité, aby všetci používatelia, ktorí root používajú svoje telefóny, pochopili, že aplikácie spúšťané ako root majú * úplný * prístup k vášmu telefónu vrátane informácií o vašom účte.
Keby mala byť databáza účtov prístupná pre nesystémových používateľov (napr. Vlastníctvo súboru alebo iného súboru pre súbor ako niečo iné ako „systémové“ alebo svetové práva na čítanie súboru), znamenalo by to veľkú zraniteľnosť zabezpečenia. ““
Zjednodušene povedané, systém Android je nastavený tak, aby aplikácie nemohli čítať databázy, s ktorými nie sú spojené. Ale akonáhle poskytnete nástroje pre aplikácie na spustenie ako root, všetky tieto zmeny. Nielen, že niekto s fyzickým prístupom k vášmu telefónu môže tieto súbory prezerať a prípadne získať prihlasovacie údaje, môže dôjsť k vytvoreniu veľmi škaredého škodlivého softvéru, ktorý urobí to isté a pošle údaje späť domov. Vo voľnej prírode sme nenašli žiadne takéto aplikácie, ale buďte veľmi opatrní (ako vždy) aplikácií, ktoré inštalujete, a prečítajte si tieto povolenia aplikácií!
Aj keď to nie je problém pre drvivú väčšinu používateľov, bolo by lepšie šifrovať tieto položky v budúcich zostaveniach systému Android. Ukázalo sa, že si to myslí niekto iný, a na stránkach s problémami so systémom Android od spoločnosti Google je záznam, ktorý môžu zainteresované strany označiť hviezdičkou, aby o tom zostali informované, a tiež by ich mohli prehĺbiť do zoznamu.
Určite to nechceme vyhodiť z proporcie, ale vedomosti sú v takých situáciách moc. Ak ste zakorenili tento lesklý nový telefón s Androidom, vykonajte niekoľko ďalších opatrení, aby ste zostali v bezpečí.