Zatímco někteří mohou trávit víkendy lenošením u bazénu nebo na narozeninových oslavách pro batolata, někteří sedí a hackují se. V tomto případě jsme rádi, protože Cory (náš administrátor fór Android Central) našel něco, čeho je dobrý počet musíme být opatrní - v mnoha případech jsou vaše hesla uložena jako interní text jako prostý text databáze. Značnou část naší soboty jsme strávili sledováním problémů, prohledáváním stránek s chybami kódu Google, testováním různých telefonů s různými ROM a dokonce i vysíláním profesionálů k objasnění. Hit the break to see what was found, and what you might need to watch if if you root your phone. [Fóra Android Central] A velké rekvizity pro Cory!
Aby bylo jasno, ovlivňuje to pouze uživatele root. Je to také skvělý důvod, proč klademe důraz na další povinnosti spojené se spuštěním rootovaného OS ve vašem telefonu. Pokud jste neměli root, tento konkrétní problém vás neovlivní, ale stále stojí za přečtení, jen abyste si uklidnili mysl, že ne rootování byla správná volba.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Udělejte si chvilku a přečtěte si všechna naše zjištění který Cory docela pěkně vypsal právě tady. Shrnu: Některé aplikace, včetně standardního e-mailového klienta Froyo (Android 2.2), ukládají vaše uživatelské jméno a heslo jako prostý text do interní databáze účtů telefonu. Patří sem poštovní účty POP a IMAP i účty Exchange (což by mohlo představovat větší problém, pokud se jedná také o přihlašovací údaje vaší domény). Nyní, než řekneme, že obloha padá, pokud váš telefon není zakořeněný, žádná aplikace to nedokáže přečíst. Dokonce jsme to potvrdili s Kevinem McHaffeyem, spoluzakladatelem a technickým ředitelem Lookout - který je vždy připraven pomoci, pokud jde o mobilní zabezpečení, i o víkendu. Zde je jeho pohled na situaci:
„Soubor accounts.db je uložen službou systému Android pro centrální správu pověření účtu (např. Uživatelská jména a hesla) pro aplikace. Ve výchozím nastavení by oprávnění v databázi účtů měla zpřístupnit soubor pouze (tj. Číst + zapisovat) uživateli systému. Žádné aplikace třetích stran by neměly mít přímý přístup k souboru. Chápu, že hesla nebo ověřovací tokeny mohou být uloženy v prostém textu, protože soubor je chráněn přísnými oprávněními. Některé služby (např. Gmail) také ukládají autentizační tokeny namísto hesel, pokud je služba podporuje, čímž se minimalizuje riziko prolomení hesla uživatele.
Bylo by velmi nebezpečné, aby aplikace třetích stran mohly tento soubor číst, a proto je velmi důležité být opatrný při instalaci aplikací, které vyžadují přístup root. Myslím, že je důležité, aby všichni uživatelé, kteří rootují své telefony, pochopili, že aplikace spuštěné jako root mají * plný * přístup k vašemu telefonu, včetně informací o vašem účtu.
Pokud by měla být databáze účtů přístupná pro nesystémové uživatele (např. Uživatelské nebo skupinové vlastnictví souboru něco jiného než „systémová“ nebo světová oprávnění ke čtení souboru), bylo by to velké zabezpečení zranitelnost."
Zjednodušeně řečeno, Android je nastaven tak, aby aplikace nemohly číst databáze, s nimiž nejsou spojeny. Ale jakmile poskytnete nástroje pro spuštění aplikací jako root, vše se změní. Nejen, že někdo s fyzickým přístupem k vašemu telefonu může tyto soubory prohlížet a případně získat vaše přihlašovací údaje pověření, mohl by být vytvořen velmi ošklivý malware, který dělá totéž a odesílá data zpět Domov. Ve volné přírodě jsme nenašli žádné instance takových aplikací, ale buďte velmi opatrní (jako vždy) nainstalovaných aplikací a přečtěte si tato oprávnění aplikací!
I když to není pro drtivou většinu uživatelů problém, bylo by lepší tyto položky v budoucích sestaveních Androidu zašifrovat. Ukázalo se, že si to myslí někdo jiný, a na stránkách s problémy s Androidem Google je záznam, které zúčastněné strany mohou označit hvězdičkou, aby o nich zůstaly informovány a rozbalit je na seznam.
Určitě to nechceme vyhodit z míry, ale znalosti jsou v takových situacích mocné. Pokud jste zakořenili ten lesklý nový telefon Android, udělejte několik dalších opatření, abyste zůstali v bezpečí.
Poslouchali jste tento týden Android Central Podcast?
Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.
- Přihlaste se k odběru v kapesních obsazeních: Zvuk
- Přihlaste se k odběru ve Spotify: Zvuk
- Přihlásit se k odběru v iTunes: Zvuk
Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistit více.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle znějí, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Nejlepší přenosné okamžité fotografické tiskárny pro zařízení Android.
Jste v pohybu a vytváříte vzpomínky na svém mobilním telefonu. I když je digitální technologie skvělá, proč nezkusit tyto vzpomínky trochu zkrátit pomocí hmatatelné fotografie?