Article

Bulletin de sécurité pour les utilisateurs rootés: les mots de passe Android stockés sous forme de texte clair

protection click fraud
Mots de passe sous forme de texte clair pour les applications racine

Alors que certains peuvent passer leurs week-ends à se prélasser au bord de la piscine ou à des fêtes d'anniversaire pour tout-petits, certains s'assoient et piratent. Nous sommes heureux dans ce cas, car Cory (notre administrateur du forum central Android) a trouvé quelque chose qu'un bon nombre de nous devons faire attention - dans de nombreux cas, vos mots de passe sont stockés sous forme de texte brut en interne bases de données. Nous avons passé une bonne partie de notre samedi à dépister les problèmes, à parcourir les pages de bogues de code de Google, à tester divers téléphones exécutant diverses ROM et même à appeler les professionnels pour obtenir des éclaircissements. Appuyez sur la pause pour voir ce qui a été trouvé et ce que vous devrez peut-être surveiller si vous avez rooté votre téléphone. [Forums Android Central] Et de gros accessoires à Cory!

Pour être clair, cela n'affecte que les utilisateurs rootés. C'est aussi une excellente raison pour laquelle nous soulignons les responsabilités supplémentaires liées à l'exécution d'un système d'exploitation enraciné sur votre téléphone.

. Si vous n'êtes pas enraciné, ce problème particulier ne vous affectera pas, mais il vaut toujours la peine d'être lu, ne serait-ce que pour vous rassurer sur le fait que ne pas enraciner était le bon choix.

Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées

Prenez un moment et lisez toutes nos découvertes, que Cory a assez bien énuméré ici. Je vais résumer: certaines applications, y compris le client de messagerie Froyo (Android 2.2), stockent votre nom d'utilisateur et votre mot de passe sous forme de texte brut dans la base de données des comptes internes du téléphone. Cela inclut les comptes de messagerie POP et IMAP, ainsi que les comptes Exchange (ce qui pourrait poser un problème plus important s'il s'agit également des informations de connexion de votre domaine). Maintenant, avant de dire que le ciel tombe, si votre téléphone n'est pas rooté, aucune application n'est capable de lire ceci. Nous l'avons même confirmé avec Kevin McHaffey, co-fondateur et directeur technique de Lookout - qui est toujours prêt à donner un coup de main en matière de sécurité mobile, même le week-end. Voici son point de vue sur la situation:

"Le fichier accounts.db est stocké par un service système Android pour gérer de manière centralisée les informations d'identification du compte (par exemple les noms d'utilisateur et les mots de passe) pour les applications. Par défaut, les autorisations sur la base de données des comptes doivent rendre le fichier uniquement accessible (c'est-à-dire en lecture + écriture) à l'utilisateur système. Aucune application tierce ne doit pouvoir accéder directement au fichier. Je crois comprendre que les mots de passe ou les jetons d'authentification peuvent être stockés en texte brut car le fichier est protégé par des autorisations strictes. De plus, certains services (par exemple Gmail) stockent des jetons d'authentification au lieu de mots de passe si le service les prend en charge, ce qui minimise le risque de compromission du mot de passe d'un utilisateur.
Il serait très dangereux pour des applications tierces de pouvoir lire ce fichier, c'est pourquoi il est très important d'être prudent lors de l'installation d'applications nécessitant un accès root. Je pense qu'il est important que tous les utilisateurs qui rootent leur téléphone comprennent que les applications exécutées en tant que root ont un accès * complet * à votre téléphone, y compris les informations de votre compte.
Si la base de données des comptes devait être accessible à des utilisateurs non-système (par exemple, propriété d'un utilisateur ou d'un groupe du fichier autre chose que les privilèges «système» ou de lecture du monde sur le fichier) ce serait une grande sécurité vulnérabilité."

Pour simplifier, Android est configuré pour que les applications ne puissent pas lire les bases de données auxquelles elles ne sont pas associées. Mais une fois que vous fournissez les outils pour que les applications s'exécutent en tant que root, tout cela change. Non seulement une personne ayant un accès physique à votre téléphone peut consulter ces fichiers et éventuellement obtenir votre connexion informations d'identification, un logiciel malveillant très méchant pourrait être créé qui fait la même chose et renvoie les données domicile. Nous n'avons trouvé aucune instance d'applications comme celle-ci dans la nature, mais soyez très prudent (comme toujours) des applications que vous installez et lisez ces autorisations d'application!

Bien que ce ne soit pas une préoccupation pour la grande majorité des utilisateurs, il serait préférable de chiffrer ces entrées dans les futures versions d'Android. Il s'avère que quelqu'un d'autre le pense, et il y a une entrée sur les pages des problèmes Android de Google, que les parties intéressées peuvent mettre en vedette pour rester informées à ce sujet et pour la remonter dans la liste.

Nous ne voulons certainement pas exagérer cela, mais la connaissance est le pouvoir dans des situations comme celle-ci. Si vous avez rooté ce nouveau téléphone Android brillant, prenez quelques précautions supplémentaires pour rester en sécurité.

Avez-vous écouté le podcast Android Central de cette semaine?

Android Central

Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, des analyses et des prises de vue, avec des co-hôtes familiers et des invités spéciaux.

  • Abonnez-vous à Pocket Casts: l'audio
  • Abonnez-vous à Spotify: l'audio
  • Abonnez-vous à iTunes: l'audio

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.

Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Il est temps de couper le cordon!

Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!

Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.

Tout ce que vous devez savoir sur la PS5: date de sortie, prix et plus
La prochaine génération

Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.

Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.

Nokia lance deux nouveaux téléphones Android One à moins de 200 $
Nouveaux Nokias

Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.

Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.

Les meilleures imprimantes photo instantanées portables pour les appareils Android
Imprimez en déplacement!

Les meilleures imprimantes photo instantanées portables pour les appareils Android.

Vous êtes en mouvement et vous créez des souvenirs sur votre mobile. Bien que le numérique soit génial, pourquoi ne pas essayer de rendre ces souvenirs un peu plus permanents avec une photo tangible?

instagram story viewer