Mens nogle måske tilbringer deres weekender ved at slappe af ved poolen eller til fødselsdagsfester til småbørn, sidder nogle og hakker. Vi er glade i dette tilfælde, da Cory (vores Android Central Forums-administrator) fandt noget, som et stort antal os skal være forsigtige med - i mange tilfælde gemmes dine adgangskoder som almindelig tekst internt databaser. Vi brugte en god del af vores lørdag på at spore problemerne, gennemsøge Googles sider med kodefejl, teste forskellige telefoner, der kører forskellige ROM'er, og endda kalde profferne til afklaring. Gå til pausen for at se, hvad der blev fundet, og hvad du muligvis skal se efter, hvis du har rodfæstet din telefon. [Android Central fora] Og store rekvisitter til Cory!
For at være klar påvirker dette kun rodfæstede brugere. Det er også en god grund til, at vi understreger det ekstra ansvar, der følger med at køre et rodfæstet operativsystem på din telefon. Hvis du ikke har rodfæstet, vil dette særlige problem ikke påvirke dig, men det er stadig værd at læse, hvis det kun er for at gøre dit sind roligt, at ikke rooting var det rigtige valg.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Tag et øjeblik og læs alle vores fund, som Cory har listet ud ganske pænt lige her. Jeg opsummerer: Visse applikationer, inklusive lagerfroyo (Android 2.2) e-mail-klienten, gemmer dit brugernavn og din adgangskode som almindelig tekst i telefonens interne kontodatabase. Dette inkluderer POP- og IMAP-mailkonti samt Exchange-konti (hvilket kan udgøre et større problem, hvis det også er dine domæne-loginoplysninger). Inden vi siger, at himlen falder, kan din applikation ikke læse dette, hvis din telefon ikke er rodfæstet. Vi bekræftede dette endda med Kevin McHaffey, medstifter og CTO for Lookout - der altid er klar til at yde en hånd, når det gælder mobil sikkerhed, selv i weekenden. Her er hans syn på situationen:
"Konten.db-filen gemmes af en android-systemtjeneste til centralt at administrere kontooplysninger (f.eks. Brugernavne og adgangskoder) til applikationer. Som standard skal tilladelserne i kontodatabasen gøre filen kun tilgængelig (dvs. læse + skrive) for systembrugeren. Ingen tredjepartsapplikationer skal kunne få direkte adgang til filen. Min forståelse er, at adgangskoder eller godkendelsestokens har lov til at blive gemt i almindelig tekst, fordi filen er beskyttet af strenge tilladelser. Nogle tjenester gemmer også godkendelsestokens i stedet for adgangskoder, hvis tjenesten understøtter dem, hvilket minimerer risikoen for, at en brugers adgangskode kompromitteres.
Det ville være meget farligt for tredjepartsapplikationer at kunne læse denne fil, hvorfor det er meget vigtigt at være forsigtig, når du installerer applikationer, der kræver rootadgang. Jeg synes, det er vigtigt for alle brugere, der rodfæster deres telefoner, at forstå, at apps, der kører som root, har * fuld * adgang til din telefon inklusive dine kontooplysninger.
Hvis kontodatabasen skulle være tilgængelig for ikke-systembrugere (f.eks. Bruger- eller gruppeejerskab af filen noget andet end "system" eller verdenslæsningsrettigheder på filen) ville det være en stor sikkerhed sårbarhed. "
For at sætte dette i enklere termer er Android konfigureret, så apps ikke kan læse databaser, de ikke er tilknyttet. Men når du først har leveret værktøjerne til applikationer til at køre som root, ændres alt dette. Ikke kun kan nogen med fysisk adgang til din telefon se på disse filer og muligvis få dit login legitimationsoplysninger, kunne der laves et meget grimt stykke malware, der gør det samme og sender dataene tilbage hjem. Vi fandt ingen forekomster af apps som denne ude i naturen, men vær meget forsigtig (som altid) for de applikationer, du installerer, og læs disse applikationstilladelser!
Selvom dette ikke er et problem for langt størstedelen af brugerne, ville det være at foretrække at kryptere disse poster i fremtidige Android-builds. Det viser sig, at en anden mener det, og der er en post på Googles sider med Android-udgaver, hvilke interesserede parter kan stjerne for at holde sig informeret om det samt bumpe det op på listen.
Vi ønsker bestemt ikke at sprænge dette ud af proportioner, men viden er magt i situationer som denne. Hvis du har rodfæstet den skinnende nye Android-telefon, skal du tage et par ekstra forholdsregler for at være sikker.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
De bedste bærbare øjeblikkelige fotoprintere til Android-enheder.
Du er på farten og laver minder på din mobil. Mens digital er fantastisk, hvorfor ikke prøve at gøre disse minder lidt mere permanente med et håndgribeligt billede?