Podczas gdy niektórzy spędzają weekendy wylegując się przy basenie lub na przyjęciach urodzinowych dla małych dzieci, niektórzy siedzą i hakują. Cieszymy się z tego przypadku, ponieważ Cory (administrator naszego centralnego forum Androida) znalazł coś, czego sporo musimy być ostrożni - w wielu przypadkach Twoje hasła są przechowywane jako zwykły tekst w wewnętrznym bazy danych. Spędziliśmy dużą część naszej soboty na śledzeniu problemów, przeszukiwaniu stron z błędami kodu Google, testowaniu różnych telefonów z różnymi ROMami, a nawet dzwoniliśmy do profesjonalistów w celu wyjaśnienia. Udaj się na przerwę, aby zobaczyć, co zostało znalezione i na co możesz zwrócić uwagę, jeśli masz zrootowany telefon. [Fora Android Central] I wielkie rekwizyty dla Cory!
Aby było jasne, dotyczy to tylko zrootowanych użytkowników. Jest to również świetny powód, dla którego kładziemy nacisk na dodatkowe obowiązki związane z uruchomieniem zrootowanego systemu operacyjnego na telefonie. Jeśli nie zrootowałeś, ten konkretny problem nie wpłynie na ciebie, ale nadal warto przeczytać, choćby po to, by uspokoić się, że nie rootowanie było właściwym wyborem.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Poświęć chwilę i przeczytaj wszystkie nasze ustalenia, które Cory całkiem ładnie wypisał tutaj. Podsumuję: Niektóre aplikacje, w tym standardowy klient poczty Froyo (Android 2.2), przechowują nazwę użytkownika i hasło jako zwykły tekst w wewnętrznej bazie danych kont telefonu. Obejmuje to konta pocztowe POP i IMAP, a także konta Exchange (co może stanowić większy problem, jeśli są to również dane logowania do domeny). Zanim powiemy, że niebo spada, jeśli Twój telefon nie jest zrootowany, żadna aplikacja nie jest w stanie tego odczytać. Potwierdziliśmy to nawet z Kevinem McHaffeyem, współzałożycielem i dyrektorem technicznym Lookout - która zawsze jest gotowa pomóc, jeśli chodzi o bezpieczeństwo mobilne, nawet w weekendy. Oto jego spojrzenie na tę sytuację:
„Plik accounts.db jest przechowywany przez usługę systemu Android w celu centralnego zarządzania danymi logowania do kont (np. Nazwami użytkowników i hasłami) dla aplikacji. Domyślnie uprawnienia w bazie danych kont powinny zapewniać dostęp do pliku tylko (tj. Odczyt + zapis) użytkownikowi systemu. Żadne aplikacje innych firm nie powinny mieć bezpośredniego dostępu do pliku. Rozumiem, że hasła lub tokeny uwierzytelniające mogą być przechowywane w postaci zwykłego tekstu, ponieważ plik jest chroniony ścisłymi uprawnieniami. Ponadto niektóre usługi (np. Gmail) przechowują tokeny uwierzytelniania zamiast haseł, jeśli dana usługa je obsługuje, co minimalizuje ryzyko złamania hasła użytkownika.
Odczytanie tego pliku przez aplikacje innych firm byłoby bardzo niebezpieczne, dlatego bardzo ważne jest, aby zachować ostrożność podczas instalowania aplikacji wymagających uprawnień administratora. Myślę, że ważne jest, aby wszyscy użytkownicy rootujący swoje telefony zrozumieli, że aplikacje działające z uprawnieniami administratora mają * pełny * dostęp do telefonu, w tym do informacji o koncie.
Jeśli baza danych kont miałaby być dostępna dla użytkowników niesystemowych (np. Własność użytkownika lub grupy do pliku coś innego niż „systemowe” lub światowe uprawnienia do odczytu pliku) byłoby to duże zabezpieczenie słaby punkt."
Mówiąc prościej, Android jest skonfigurowany tak, że aplikacje nie mogą odczytywać baz danych, z którymi nie są powiązane. Ale gdy udostępnisz narzędzia do uruchamiania aplikacji jako root, wszystko to się zmieni. Nie tylko osoba mająca fizyczny dostęp do Twojego telefonu może przeglądać te pliki i być może uzyskać Twój login poświadczeń, można stworzyć bardzo paskudny złośliwy program, który robi to samo i odsyła dane Dom. Nie znaleźliśmy żadnych przykładów takich aplikacji na wolności, ale bądź bardzo ostrożny (jak zawsze) z aplikacjami, które instalujesz i przeczytaj te uprawnienia aplikacji!
Chociaż nie dotyczy to zdecydowanej większości użytkowników, lepiej byłoby zaszyfrować te wpisy w przyszłych wersjach Androida. Okazuje się, że ktoś inny tak myśli i jest wpis na stronach Google dotyczących problemów z Androidem, które zainteresowane strony mogą oznaczyć gwiazdką, aby być na bieżąco z informacjami, a także podbijać listę.
Z pewnością nie chcemy tego wyolbrzymiać, ale wiedza to potęga w takich sytuacjach. Jeśli zrootowałeś ten nowy, lśniący telefon z Androidem, podejmij kilka dodatkowych środków ostrożności, aby zachować bezpieczeństwo.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Najlepsze przenośne natychmiastowe drukarki fotograficzne dla urządzeń z systemem Android.
Jesteś w ruchu i tworzysz wspomnienia na telefonie komórkowym. Chociaż cyfryzacja jest świetna, dlaczego nie spróbować utrwalić tych wspomnień za pomocą namacalnego zdjęcia?