Mens noen kan tilbringe helgene sine ved å slappe av ved bassenget eller på bursdagsfester til småbarn, sitter noen og hakker. Vi er glade i dette tilfellet, da Cory (vår Android Central Forums-administrator) fant noe som mange oss må være forsiktige med - i mange tilfeller lagres passordene dine som ren tekst internt databaser. Vi brukte en god del av lørdagen vår på å spore opp problemene, gjennomsøke Googles sider med kodefeil, teste forskjellige telefoner som kjørte forskjellige ROM-er, og til og med ringe inn proffene for avklaring. Gå til pause for å se hva som ble funnet, og hva du kanskje trenger å se etter hvis du har rotet telefonen din. [Android Central-fora] Og store rekvisitter til Cory!
For å være klar, påvirker dette bare rotte brukere. Det er også en god grunn til at vi understreker det ekstra ansvaret som følger med å kjøre et rotfestet operativsystem på telefonen din. Hvis du ikke har rotfestet, vil ikke dette spesielle problemet påvirke deg, men det er fortsatt verdt å lese, bare for å gjøre deg oppmerksom på at det ikke var riktig å rote.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Ta et øyeblikk og les alle funnene våre, som Cory har listet opp ganske pent her. Jeg vil oppsummere: Enkelte applikasjoner, inkludert e-postklienten Froyo (Android 2.2), lagrer brukernavnet og passordet ditt som ren tekst i telefonens interne kontodatabase. Dette inkluderer POP- og IMAP-e-postkontoer, samt Exchange-kontoer (som kan utgjøre et større problem hvis det også er påloggingsinformasjonen for domenet ditt). Nå før vi sier at himmelen faller, hvis telefonen ikke er forankret, kan ingen applikasjoner lese dette. Vi bekreftet dette til og med Kevin McHaffey, medstifter og CTO for Lookout - som alltid er klar til å gi en hånd når det gjelder mobil sikkerhet, til og med i helgen. Her er hans syn på situasjonen:
"The accounts.db-filen lagres av en android-systemtjeneste for å administrere kontolegitimasjon sentralt (f.eks. Brukernavn og passord) for applikasjoner. Som standard skal tillatelsene i kontodatabasen gjøre filen bare tilgjengelig (dvs. lese + skrive) for systembrukeren. Ingen tredjepartsapplikasjoner skal kunne få direkte tilgang til filen. Min forståelse er at passord eller godkjenningstokener kan lagres i ren tekst fordi filen er beskyttet av strenge tillatelser. Noen tjenester (f.eks. Gmail) lagrer også autentiseringstokener i stedet for passord hvis tjenesten støtter dem, noe som minimerer risikoen for at brukerens passord blir kompromittert.
Det ville være veldig farlig for tredjepartsapplikasjoner å kunne lese denne filen, og det er derfor det er veldig viktig å være forsiktig når du installerer applikasjoner som krever root-tilgang. Jeg tror det er viktig for alle brukere som forankrer telefonene sine å forstå at apper som kjører som root har * full * tilgang til telefonen din, inkludert kontoinformasjonen din.
Hvis kontodatabasen skulle være tilgjengelig for ikke-systembrukere (f.eks. Bruker- eller gruppeeierskap til filen noe annet enn “system” eller verdenslese rettigheter på filen) ville det være en stor sikkerhet sårbarhet. "
For å si dette på en enklere måte, er Android konfigurert slik at apper ikke kan lese databaser de ikke er tilknyttet. Men når du gir verktøyene for at applikasjoner kan kjøre som root, endres alt dette. Ikke bare kan noen med fysisk tilgang til telefonen se på disse filene og muligens få innloggingen din legitimasjon, kan det lages en veldig stygg malware som gjør det samme og sender dataene tilbake hjem. Vi fant ingen forekomster av apper som dette ute i naturen, men vær veldig forsiktig (som alltid) for programmene du installerer, og les disse applikasjonstillatelsene!
Selv om dette ikke er en bekymring for de aller fleste brukere, vil det være å foretrekke å kryptere disse oppføringene i fremtidige Android-bygg. Det viser seg at noen andre tror det, og det er en oppføring på Googles Android-utgavesider, hvilke interesserte parter kan stjerne for å holde seg informert om det, samt støte det opp på listen.
Vi vil absolutt ikke blåse dette ut av proporsjoner, men kunnskap er makt i situasjoner som denne. Hvis du har forankret den skinnende nye Android-telefonen, ta noen ekstra forholdsregler for å være trygg.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
De beste bærbare øyeblikkelige fotoskrivere for Android-enheter.
Du er på farten og lager minner på mobilen din. Mens digital er flott, hvorfor ikke prøve å gjøre minnene litt mer permanente med et håndgripelig bilde?