Terwijl sommigen hun weekend doorbrengen met luieren aan het zwembad of op verjaardagsfeestjes voor peuters, sommigen zitten en hacken. We zijn blij in dit geval, aangezien Cory (onze Android Central Forums-beheerder) iets heeft gevonden dat een groot aantal is daar moeten we voorzichtig mee zijn - in veel gevallen worden uw wachtwoorden opgeslagen als platte tekst in het interne databases. We hebben een groot deel van onze zaterdag besteed aan het opsporen van de problemen, het doorzoeken van Google-pagina's met codefouten, het testen van verschillende telefoons met verschillende ROM's en zelfs het inschakelen van de professionals voor opheldering. Druk op de pauze om te zien wat er is gevonden en waar je mogelijk op moet letten als je je telefoon hebt geroot. [Android Central-forums] En grote rekwisieten voor Cory!
Voor de duidelijkheid, dit heeft alleen betrekking op geroote gebruikers. Het is ook een goede reden waarom we de extra verantwoordelijkheden benadrukken die gepaard gaan met het draaien van een geroot besturingssysteem op uw telefoon
. Als je niet hebt geroot, heeft dit specifieke probleem geen invloed op je, maar het is nog steeds de moeite waard om te lezen, al was het maar om je gerust te stellen dat niet rooten de juiste keuze was.Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Neem even de tijd en lees al onze bevindingen, die Cory hier heel mooi heeft opgesomd. Ik zal het samenvatten: Bepaalde applicaties, waaronder de standaard Froyo (Android 2.2) e-mailclient, slaan uw gebruikersnaam en wachtwoord op als platte tekst in de interne accountdatabase van de telefoon. Dit omvat zowel POP- en IMAP-mailaccounts als Exchange-accounts (wat een groter probleem kan opleveren als het ook de inloggegevens van uw domein zijn). Voordat we zeggen dat de lucht valt: als je telefoon niet is geroot, kan geen enkele applicatie dit lezen. We hebben dit zelfs bevestigd met Kevin McHaffey, de medeoprichter en CTO van Lookout - die altijd klaar staat om een handje te helpen als het gaat om mobiele beveiliging, zelfs in het weekend. Hier is zijn kijk op de situatie:
"Het accounts.db-bestand wordt opgeslagen door een Android-systeemservice om accountreferenties (bijv. Gebruikersnamen en wachtwoorden) voor applicaties centraal te beheren. Standaard zouden de machtigingen voor de accountdatabase het bestand alleen toegankelijk moeten maken (d.w.z. lezen + schrijven) voor de systeemgebruiker. Toepassingen van derden mogen niet rechtstreeks toegang hebben tot het bestand. Ik heb begrepen dat wachtwoorden of authenticatietokens in platte tekst mogen worden opgeslagen omdat het bestand wordt beschermd door strikte machtigingen. Ook slaan sommige services (zoals Gmail) authenticatietokens op in plaats van wachtwoorden als de service deze ondersteunt, waardoor het risico dat het wachtwoord van een gebruiker wordt gecompromitteerd, wordt geminimaliseerd.
Het zou erg gevaarlijk zijn voor applicaties van derden om dit bestand te kunnen lezen. Daarom is het erg belangrijk om voorzichtig te zijn bij het installeren van applicaties die root-toegang vereisen. Ik denk dat het belangrijk is voor alle gebruikers die hun telefoon rooten om te begrijpen dat apps die als root worden uitgevoerd * volledige * toegang hebben tot uw telefoon, inclusief uw accountgegevens.
Als de accountdatabase toegankelijk zou zijn voor niet-systeemgebruikers (bijv.gebruiker of groepseigendom van het bestand iets anders dan "systeem" of wereldleesrechten voor het bestand) zou het een grote beveiliging zijn kwetsbaarheid."
Om dit eenvoudiger te zeggen: Android is zo ingesteld dat apps geen databases kunnen lezen waaraan ze niet zijn gekoppeld. Maar als je eenmaal de tools hebt geleverd om applicaties als root te laten draaien, verandert dit allemaal. Niet alleen kan iemand met fysieke toegang tot uw telefoon deze bestanden bekijken en mogelijk uw login verkrijgen referenties, zou er een zeer vervelende malware kunnen worden gemaakt die hetzelfde doet en de gegevens terugstuurt huis. We hebben geen voorbeelden van dergelijke apps in het wild gevonden, maar wees (zoals altijd) heel voorzichtig met de applicaties die u installeert en lees die applicatietoestemmingen!
Hoewel dit voor de overgrote meerderheid van de gebruikers geen probleem is, verdient het de voorkeur om deze vermeldingen in toekomstige Android-builds te versleutelen. Blijkt, iemand anders denkt van wel, en er is een vermelding op de pagina's met Android-problemen van Google, die geïnteresseerde partijen kunnen schitteren om op de hoogte te blijven en het op de lijst te zetten.
We willen dit zeker niet buiten proportie blazen, maar kennis is macht in situaties als deze. Als je die glimmende nieuwe Android-telefoon hebt geroot, neem dan een paar extra voorzorgsmaatregelen om veilig te blijven.
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
De beste draagbare instantfotoprinters voor Android-apparaten.
Je bent onderweg en maakt herinneringen op je mobiel. Hoewel digitaal geweldig is, waarom probeert u die herinneringen dan niet een beetje permanenter te maken met een tastbare foto?