Статья

Бюллетень по безопасности для корневых пользователей: пароли Android хранятся в виде открытого текста

protection click fraud
Пароли в виде открытого текста для корневых приложений

В то время как некоторые могут проводить выходные, отдыхая у бассейна или на вечеринках по случаю дня рождения малышей, некоторые сидят и взламывают. Мы рады этому случаю, поскольку Кори (администратор нашего Центрального форума Android) нашел кое-что, что нам нужно быть осторожными - во многих случаях ваши пароли хранятся в виде обычного текста во внутреннем базы данных. Мы потратили значительную часть субботы на отслеживание проблем, просмотр страниц с ошибками кода в Google, тестирование различных телефонов с различными ПЗУ и даже звонки профессионалам за разъяснениями. Нажмите на паузу, чтобы узнать, что было найдено, и что вам может понадобиться посмотреть, если вы внедрили свой телефон. [Форумы Android Central] И большая поддержка Кори!

Чтобы было ясно, это влияет только на пользователей с root-правами. Это также отличная причина, по которой мы подчеркиваем дополнительные обязанности, связанные с запуском рутированной ОС на вашем телефоне.. Если вы не получили root-права, эта конкретная проблема не повлияет на вас, но все же стоит прочитать, хотя бы для того, чтобы вы убедились, что отсутствие root-доступа было правильным выбором.

Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях

Найдите минутку и прочтите все наши выводы, которые Кори довольно хорошо перечислил прямо здесь. Я резюмирую: некоторые приложения, включая стандартный почтовый клиент Froyo (Android 2.2), хранят ваше имя пользователя и пароль в виде обычного текста во внутренней базе данных учетных записей телефона. Сюда входят почтовые учетные записи POP и IMAP, а также учетные записи Exchange (что может создать большую проблему, если это также информация для входа в ваш домен). Прежде чем мы скажем, что небо падает, если ваш телефон не рутирован, ни одно приложение не сможет это прочитать. Мы даже подтвердили это с Кевином МакХаффи, соучредителем и техническим директором Lookout - кто всегда готов протянуть руку помощи в вопросах мобильной безопасности, даже в выходные. Вот его взгляд на ситуацию:

"Файл accounts.db хранится в системной службе Android для централизованного управления учетными данными (например, именами пользователей и паролями) для приложений. По умолчанию права доступа к базе данных учетных записей должны сделать файл доступным (т.е. чтение + запись) только системному пользователю. Никакие сторонние приложения не должны иметь прямого доступа к файлу. Насколько я понимаю, пароли или токены аутентификации могут храниться в виде обычного текста, потому что файл защищен строгими разрешениями. Кроме того, некоторые службы (например, Gmail) хранят токены аутентификации вместо паролей, если служба их поддерживает, что сводит к минимуму риск взлома пароля пользователя.
Для сторонних приложений было бы очень опасно читать этот файл, поэтому очень важно соблюдать осторожность при установке приложений, которым требуется root-доступ. Я думаю, что для всех пользователей, имеющих root-права на своих телефонах, важно понимать, что приложения, работающие с root-правами, имеют * полный * доступ к вашему телефону, включая информацию о вашей учетной записи.
Если база данных учетных записей должна быть доступна для пользователей, не являющихся системными (например, пользователь или группа, владеющие файлом что-то кроме "системных" или прав на чтение файла в мире) это будет большая безопасность уязвимость ".

Проще говоря, Android настроен так, что приложения не могут читать базы данных, с которыми они не связаны. Но как только вы предоставите инструменты для запуска приложений с правами root, все это изменится. Кто-то, имеющий физический доступ к вашему телефону, может не только просмотреть эти файлы и, возможно, получить ваш логин. учетные данные, может быть создана очень неприятная вредоносная программа, которая делает то же самое и отправляет данные обратно дом. Мы не нашли ни одного экземпляра подобных приложений в дикой природе, но будьте очень осторожны (как всегда) с приложениями, которые вы устанавливаете, и ознакомьтесь с разрешениями этих приложений!

Хотя подавляющее большинство пользователей это не беспокоит, было бы предпочтительнее зашифровать эти записи в будущих сборках Android. Оказывается, так думает кто-то другой, и есть запись на страницах Google по проблемам Android, которые заинтересованные стороны могут пометить, чтобы оставаться в курсе, а также поднять его в списке.

Мы, конечно, не хотим преувеличивать, но знание - сила в подобных ситуациях. Если вы рутировали этот блестящий новый телефон Android, примите несколько дополнительных мер, чтобы оставаться в безопасности.

Вы слушали подкаст Android Central на этой неделе?

Android Central

Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими отзывами со знакомыми соведущими и специальными гостями.

  • Подпишитесь в Pocket Casts: Аудио
  • Подпишитесь в Spotify: Аудио
  • Подпишитесь в iTunes: Аудио

Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Пора перерезать шнур!

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!

Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое
Следующее поколение

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.

Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов
Новые Нокиас

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.

Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.

Лучшие портативные мгновенные фотопринтеры для устройств Android
Печатайте на ходу!

Лучшие портативные мгновенные фотопринтеры для устройств Android.

Вы в пути и создаете воспоминания на своем мобильном телефоне. Цифровой формат - это прекрасно, но почему бы не попытаться сделать эти воспоминания более долговечными с помощью осязаемой фотографии?

instagram story viewer