Cikk

Biztonsági közlemény gyökeres felhasználók számára: Android szöveges jelszavak tiszta szövegként tárolva

protection click fraud
A jelszavak tiszta szövegként a gyökéralkalmazásokhoz

Míg egyesek a hétvégét a medence mellett pihenve vagy a kisgyermek születésnapi partijain tölthetik, mások ülnek és csapkodnak. Örülünk ebben az esetben, mivel Cory (az Android központi fórumaink rendszergazdája) talált valami olyat, amiből szép számmal akad nekünk óvatosnak kell lennünk - a jelszavakat sok esetben egyszerű szövegként tárolják a belső oldalon adatbázisok. Szombatunk jó részét azzal töltöttük, hogy felkutattuk a problémákat, átkutattuk a Google kódhiba-oldalait, teszteltünk különféle telefonokat, amelyek különböző ROM-okat futtattak, és még a profikat is felkértük tisztázásra. Nyomja meg a törést, hogy lássa, mit találtak, és mire kell figyelnie, ha gyökerezik a telefonját. [Android Central fórumok] És nagy kellékek Corynak!

Hogy világos legyen, ez csak a gyökérzeten futó felhasználókat érinti. Ez egyben nagyszerű ok, amiért hangsúlyozzuk a gyökeres operációs rendszer telefonon történő futtatásával járó extra felelősségeket. Ha még nem gyökereztél, ez a bizonyos kérdés nem fog érinteni téged, de mégis érdemes elolvasnod, csak azért, hogy könnyebben tudatodba vegye, hogy nem a gyökérzet volt a megfelelő választás.

A Verizon a Pixel 4a-t mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon

Szánjon egy percet, és olvassa el az összes eredményt, amelyet Cory egészen szépen felsorolt ​​itt. Összefoglalom: Bizonyos alkalmazások, beleértve a készletben lévő Froyo (Android 2.2) e-mail klienst, a felhasználó belső nevét és jelszavát egyszerű szövegként tárolják a telefon belső fiókok adatbázisában. Ide tartoznak a POP és IMAP levelezési fiókok, valamint az Exchange-fiókok (amelyek nagyobb problémát vethetnek fel, ha a domain bejelentkezési adatai is). Mielőtt azt mondanánk, hogy esik az ég, ha a telefon nem gyökerezik, egyetlen alkalmazás sem képes ezt elolvasni. Ezt még Kevin McHaffey-vel, a Lookout társalapítójával és a CTO-val is megerősítettük - aki mindig kész kezet nyújtani a mobil biztonság szempontjából, még a hétvégén is. Itt van a helyzetről:

"A accounts.db fájlt egy android rendszerszolgáltatás tárolja, hogy központilag kezelje az alkalmazások fiókadatait (pl. Felhasználóneveket és jelszavakat). Alapértelmezés szerint a fiókok adatbázisának engedélyeivel a fájlt csak a rendszergazda számára szabad elérhetõvé tenni (azaz olvasni és írni). Semmilyen harmadik féltől származó alkalmazás nem férhet hozzá közvetlenül a fájlhoz. Megértésem szerint a jelszavakat vagy hitelesítési tokeneket szabad egyszerű szövegben tárolni, mert a fájlt szigorú engedélyek védik. Egyes szolgáltatások (pl. Gmail) hitelesítési tokeneket tárolnak jelszavak helyett, ha a szolgáltatás támogatja őket, ezzel minimalizálva a felhasználó jelszavának veszélyét.
Nagyon veszélyes lenne, ha harmadik féltől származó alkalmazások el tudnák olvasni ezt a fájlt, ezért nagyon fontos, hogy legyen óvatos a root hozzáférést igénylő alkalmazások telepítésekor. Fontosnak tartom, hogy a telefonját gyökereztető összes felhasználó megértse, hogy a root felhasználóként futó alkalmazások * teljes * hozzáféréssel rendelkeznek a telefonhoz, beleértve a fiókadatokat is.
Ha a fiókok adatbázisa hozzáférhető lenne a rendszeren kívüli felhasználók számára (pl. A fájl felhasználói vagy csoport tulajdonjoga) valami más, mint a „rendszer” vagy a fájlolvasási jogosultságok a fájlban) ez nagy biztonságot jelentene sebezhetőség."

Ennek egyszerűbb megfogalmazása érdekében az Android úgy van beállítva, hogy az alkalmazások ne olvashassák azokat az adatbázisokat, amelyekhez nincs társítva. De miután megadta az alkalmazásokat a root felhasználóként történő futtatáshoz, mindez megváltozik. Nem csak valaki, aki fizikai hozzáféréssel rendelkezik a telefonjához, megnézheti ezeket a fájlokat, és esetleg megszerezheti a bejelentkezését hitelesítő adatok, nagyon csúnya rosszindulatú programok készülhetnek, amelyek ugyanazt teszik és visszaküldik az adatokat itthon. Nem találtunk ilyen alkalmazásokat a vadonban, de legyen nagyon óvatos (mint mindig) a telepített alkalmazásokkal kapcsolatban, és olvassa el ezeket az alkalmazásengedélyeket!

Noha ez a felhasználók túlnyomó többségét nem foglalkoztatja, ezeket a bejegyzéseket célszerűbb titkosítani a jövőbeni Android-fejlesztések során. Kiderült, valaki más gondolja így, és van egy bejegyzés a Google Android kiadási oldalain, mely érdekelt felek csillagozhatnak, hogy tájékozódhassanak róla, valamint feldobhassák a listát.

Természetesen nem akarjuk ezt aránytalanul kifújni, de a tudás hatalom az ilyen helyzetekben. Ha meggyökerezte ezt a fényes új Android-telefont, tegyen néhány további óvintézkedést a biztonság érdekében.

Hallgatta már a hét Android Central Podcastját?

Android Central

Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtársaival és különleges vendégeivel.

  • Feliratkozás Pocket Cast-okra: Hang
  • Feliratkozás a Spotify-ra: Hang
  • Feliratkozás az iTunes-ra: Hang

Linkjeink segítségével jutalékot kaphatunk a vásárlásokért. Tudj meg többet.

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
Ideje levágni a zsinórt!

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!

A legjobb vezeték nélküli fülhallgató kényelmes, jól hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.

Minden, amit tudnia kell a PS5-ről: Kiadás dátuma, ára és még sok más
Következő generációs

Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más.

A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra
Új Nokias

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra.

A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.

A legjobb hordozható azonnali fotónyomtatók Android-eszközökhöz
Nyomtatás útközben!

A legjobb hordozható azonnali fotónyomtatók Android-eszközökhöz.

Mozgásban vagy, és emlékeket készítesz a mobilodon. Bár a digitális nagyszerű, miért ne próbálná meg egy kicsit kézzelfoghatóbbá tenni ezeket az emlékeket egy kézzelfogható fotóval?

instagram story viewer