Artikel

Sicherheitsbulletin für gerootete Benutzer: Android-Passwörter werden als Klartext gespeichert

protection click fraud
Passwörter als Klartext für Root-Apps

Während einige ihre Wochenenden am Pool oder auf Geburtstagsfeiern für Kleinkinder verbringen, sitzen andere und hacken. Wir freuen uns in diesem Fall, als Cory (unser Administrator für Android Central Forums) etwas gefunden hat, von dem eine gute Anzahl Wir müssen vorsichtig sein - in vielen Fällen werden Ihre Passwörter als Klartext in intern gespeichert Datenbanken. Wir haben einen Großteil unseres Samstags damit verbracht, die Probleme aufzuspüren, die Code-Bugs-Seiten von Google zu durchsuchen, verschiedene Telefone mit verschiedenen ROMs zu testen und sogar die Profis zur Klärung hinzuzuziehen. Machen Sie eine Pause, um zu sehen, was gefunden wurde und worauf Sie möglicherweise achten müssen, wenn Sie Ihr Telefon gerootet haben. [Android Central-Foren] Und große Requisiten an Cory!

Dies betrifft natürlich nur gerootete Benutzer. Dies ist auch ein guter Grund, warum wir die zusätzlichen Verantwortlichkeiten hervorheben, die mit dem Ausführen eines verwurzelten Betriebssystems auf Ihrem Telefon verbunden sind

. Wenn Sie nicht verwurzelt sind, hat dieses spezielle Problem keine Auswirkungen auf Sie, aber es lohnt sich trotzdem zu lesen, wenn Sie sich nur beruhigen möchten, dass nicht verwurzelt die richtige Wahl war.

Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an

Nehmen Sie sich einen Moment Zeit und lesen Sie alle unsere Ergebnisse. was Cory hier ganz schön aufgelistet hat. Ich fasse zusammen: Bestimmte Anwendungen, einschließlich des Standard-E-Mail-Clients Froyo (Android 2.2), speichern Ihren Benutzernamen und Ihr Kennwort als Klartext in der internen Kontodatenbank des Telefons. Dies umfasst POP- und IMAP-E-Mail-Konten sowie Exchange-Konten (was ein größeres Problem darstellen kann, wenn es sich auch um Ihre Domain-Anmeldeinformationen handelt). Bevor wir sagen, dass der Himmel fällt, kann keine Anwendung dies lesen, wenn Ihr Telefon nicht gerootet ist. Wir haben dies sogar mit Kevin McHaffey, dem Mitbegründer und CTO von Lookout, bestätigt - Wer ist immer bereit zu helfen, wenn es um mobile Sicherheit gehtsogar am Wochenende. Hier ist seine Sicht auf die Situation:

"Die Datei accounts.db wird von einem Android-Systemdienst gespeichert, um Kontoanmeldeinformationen (z. B. Benutzernamen und Kennwörter) für Anwendungen zentral zu verwalten. Standardmäßig sollten die Berechtigungen für die Kontodatenbank die Datei nur für den Systembenutzer zugänglich machen (d. H. Lesen + Schreiben). Anwendungen von Drittanbietern sollten nicht direkt auf die Datei zugreifen können. Nach meinem Verständnis dürfen Passwörter oder Authentifizierungstoken im Klartext gespeichert werden, da die Datei durch strenge Berechtigungen geschützt ist. Außerdem speichern einige Dienste (z. B. Google Mail) Authentifizierungstoken anstelle von Kennwörtern, wenn der Dienst diese unterstützt, wodurch das Risiko minimiert wird, dass das Kennwort eines Benutzers kompromittiert wird.
Es wäre sehr gefährlich für Anwendungen von Drittanbietern, diese Datei lesen zu können. Daher ist es sehr wichtig, bei der Installation von Anwendungen, die Root-Zugriff erfordern, vorsichtig zu sein. Ich denke, es ist wichtig, dass alle Benutzer, die ihre Telefone rooten, verstehen, dass Apps, die als root ausgeführt werden, * vollen * Zugriff auf Ihr Telefon haben, einschließlich Ihrer Kontoinformationen.
Wenn die Kontodatenbank für Nicht-Systembenutzer zugänglich sein soll (z. B. Benutzer- oder Gruppenbesitz der Datei) etwas anderes als "System" oder weltweite Leseberechtigungen für die Datei) wäre eine große Sicherheit Verletzlichkeit."

Einfacher ausgedrückt ist Android so eingerichtet, dass Apps keine Datenbanken lesen können, denen sie nicht zugeordnet sind. Sobald Sie jedoch die Tools für Anwendungen bereitgestellt haben, die als Root ausgeführt werden sollen, ändert sich dies alles. Nicht nur jemand mit physischem Zugriff auf Ihr Telefon kann sich diese Dateien ansehen und möglicherweise Ihr Login erhalten Anmeldeinformationen, es könnte eine sehr böse Malware erstellt werden, die dasselbe tut und die Daten zurücksendet Zuhause. Wir haben keine Instanzen solcher Apps in freier Wildbahn gefunden, aber seien Sie (wie immer) sehr vorsichtig mit den von Ihnen installierten Anwendungen und lesen Sie diese Anwendungsberechtigungen!

Während dies für die überwiegende Mehrheit der Benutzer kein Problem darstellt, ist es vorzuziehen, diese Einträge in zukünftigen Android-Builds zu verschlüsseln. Es stellt sich heraus, dass jemand anderes das glaubt und Auf den Android-Ausgabeseiten von Google befindet sich ein Eintrag, welche Interessenten die Hauptrolle spielen können, um darüber informiert zu bleiben und die Liste zu erweitern.

Wir wollen das sicherlich nicht überproportional in die Luft jagen, aber Wissen ist in solchen Situationen Macht. Wenn Sie dieses glänzende neue Android-Telefon verwurzelt haben, treffen Sie einige zusätzliche Vorsichtsmaßnahmen, um die Sicherheit zu gewährleisten.

Haben Sie den Android Central Podcast dieser Woche gehört?

Android Central

Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.

  • Abonnieren Sie in Pocket Casts: Audio
  • Abonnieren Sie in Spotify: Audio
  • In iTunes abonnieren: Audio

Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.

Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Es ist Zeit, die Schnur zu durchtrennen!

Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!

Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.

Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr
Nächste Generation

Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.

Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.

Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt
Neue Nokias

Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.

Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.

Die besten tragbaren Sofortbilddrucker für Android-Geräte
Drucken Sie unterwegs!

Die besten tragbaren Sofortbilddrucker für Android-Geräte.

Sie sind unterwegs und machen Erinnerungen auf Ihrem Handy. Während digital großartig ist, warum nicht versuchen, diese Erinnerungen mit einem greifbaren Foto ein wenig dauerhafter zu machen?

instagram story viewer