Vaikka jotkut voivat viettää viikonloppunsa rentoutumalla uima-altaan äärellä tai taaperoiden syntymäpäiväjuhlissa, toiset istuvat ja hakkeroivat. Olemme tässä mielessä iloisia, koska Cory (Android Central Forums -järjestelmänvalvojamme) havaitsi jotain, minkä monien ihmisten on oltava varovaisia - salasanasi tallennetaan monissa tapauksissa vain tekstinä sisäisiin tietokantoihin. Vietimme suuren osan lauantaistamme seuraamalla ongelmia, pesemällä Googlen koodivirhesivuja, testaamalla erilaisia puhelimia, joissa on erilaisia ROM-levyjä, ja jopa pyytämällä ammattilaisia selventämään. Ota tauko nähdäksesi mitä löytyi ja mitä sinun on ehkä tarkkailtava, jos olet juurtanut puhelimesi. Ja isot rekvisiitta Corylle!
Selvyyden vuoksi tämä vaikuttaa vain juurtuneisiin käyttäjiin. Se on myös hieno syy, miksi korostamme ylimääräisiä vastuita, jotka liittyvät juurtuneen käyttöjärjestelmän käyttämiseen puhelimellasi. Jos et ole juurtunut, tämä tietty aihe ei vaikuta sinuun, mutta se on silti lukemisen arvoinen, jos vain antaa mielesi rauhaan, että juurtumattomuus oli oikea valinta.
Käytä hetki ja lue kaikki havainnot, jotka Cory on luetellut melko hienosti täällä. Yhteenvetona: Tietyt sovellukset, mukaan lukien osake Froyo (Android 2.2) -sähköpostiohjelma, tallentavat käyttäjänimesi ja salasanasi selkeänä tekstinä puhelimen sisäisessä tilitietokannassa. Tämä sisältää POP- ja IMAP-sähköpostitilit sekä Exchange-tilit (mikä voi aiheuttaa suuremman ongelman, jos se on myös verkkotunnuksesi kirjautumistiedot). Nyt ennen sanomme taivas laskee, jos puhelimesi ei juurtu, mikään sovellus ei pysty lukemaan tätä. Vahvistimme sen jopa Lookoutin perustaja- ja teknologiajohtaja Kevin McHaffeyn kanssa - joka on aina valmis antamaan käden mobiiliturvallisuuden kannalta, jopa viikonloppuna. Tässä on hänen tilanne:
"Android.dll-palvelu tallentaa Accounts.db-tiedoston hallitsemaan keskitetysti sovellusten tilitiedot (esim. Käyttäjänimet ja salasanat). Oletuksena tilitietokannan käyttöoikeuksien tulisi tehdä tiedostosta vain käytettävä (ts. Lukea + kirjoittaa) järjestelmän käyttäjä. Minkään kolmannen osapuolen sovelluksen ei pitäisi voida päästä suoraan tiedostoon. Ymmärrän, että salasanat tai todennuslomakkeet saavat tallentua selkeässä tekstissä, koska tiedosto on suojattu tiukeilla luvilla. Lisäksi jotkut palvelut (esim. Gmail) tallentavat autentikointitunnukset salasanojen sijasta, jos palvelu tukee niitä, minimoimalla käyttäjän salasanan vaarantumisen riski.
Olisi erittäin vaarallista, että kolmansien osapuolien sovellukset pystyvät lukemaan tämän tiedoston, minkä vuoksi on erittäin tärkeää olla varovainen asennettaessa sovelluksia, jotka vaativat pääkäyttäjän oikeuksia. Mielestäni on tärkeää, että kaikki puhelimen juurtuneet käyttäjät ymmärtävät, että root-sovelluksina toimivilla sovelluksilla on * täysi * pääsy puhelimeesi, tilitietosi mukaan lukien.
Jos tilitietokannan tulisi olla järjestelmän ulkopuolisten käyttäjien käytettävissä (esimerkiksi tiedoston käyttäjän tai ryhmän omistusoikeus jotain muuta kuin tiedoston ”järjestelmän” tai maailman lukuoikeudet), se olisi suuri tietoturvahaavoittuvuus."
Yksinkertaistettuna tämä on, että Android on asetettu niin, että sovellukset eivät voi lukea tietokantoja, joihin ne eivät liity. Mutta kun olet toimittanut työkalut sovelluksille, jotka toimivat juurina, kaikki tämä muuttuu. Joku, jolla on fyysinen pääsy puhelimeesi, ei vain voi tarkastella näitä tiedostoja ja mahdollisesti hankkia kirjautumistietojasi, vaan siitä voidaan tehdä erittäin ilkeä haittaohjelma, joka tekee saman asian ja lähettää tiedot takaisin kotiin. Emme löytäneet mitään tällaisen tyyppisiä sovelluksia luonnossa, mutta ole erittäin varovainen (kuten aina) asentamiesi sovellusten suhteen ja lue nämä sovellusluvat!
Vaikka tämä ei ole huolenaihe suurimmalle osalle käyttäjiä, olisi suositeltavaa salata nämä merkinnät tulevissa Android-versioissa. Osoittautuu, että joku muu ajattelee niin, ja Googlen Android-julkaisusivuilla on merkintä, jonka kiinnostuneet osapuolet voivat tähdellä pysyä ajan tasalla siitä ja koota sen luetteloon.
Emme todellakaan halua tyhjentää tätä suhteettomalta, mutta tieto on voimaa tällaisissa tilanteissa. Jos olet juurtanut kiiltävän uuden Android-puhelimen, ota muutama ylimääräinen varotoimi pysyäksesi turvassa.
