Хоча деякі можуть провести свої вихідні, розвівшись біля басейну або на вечірках з днем народження малюка, деякі сидять і ламаються. Ми раді в цьому випадку, оскільки Кори (наш адміністратор Android Center Forums) знайшов щось, над чим треба бути обережним, - у багатьох випадках ваші паролі зберігаються як звичайний текст у внутрішніх базах даних. Ми провели хорошу частину нашої суботи, відстежуючи проблеми, переглядаючи сторінки помилок коду Google, тестуючи різні телефони, що працюють під різними ПЗУ, і навіть закликали фахівців до роз'яснень. Натисніть на перерву, щоб побачити, що було знайдено, і на що вам може знадобитися стежити, якщо ви вкоренили свій телефон. І великі реквізити для Кори!
Щоб було зрозуміло, це впливає лише на вкорінених користувачів. Це також чудова причина, чому ми наголошуємо на додаткових обов'язках, які виникають із запуском вкоріненої ОС на вашому телефоні. Якщо ви ще не вкоренилися, ця конкретна проблема не торкнеться вас, але все ж варто прочитати, якщо лише спокійно поставити свою думку, що не вкорінення було правильним вибором.
Знайдіть хвилинку і прочитайте всі наші висновки, які Корі досить добре перерахував тут. Підсумую: певні програми, включаючи електронний поштовий клієнт Froyo (Android 2.2), зберігають ваше ім’я користувача та пароль у вигляді простого тексту у внутрішній базі даних облікових записів телефону. Сюди входять облікові записи POP та IMAP, а також облікові записи Exchange (що може спричинити більшу проблему, якщо це також інформація про вхід у ваш домен). Тепер, перш ніж ми скажемо, небо падає, якщо телефон не вкорінений, жодна програма не може це прочитати. Ми навіть підтвердили це разом із Кевіном Мак-Хейфі, співзасновником та організатором технічного огляду, який завжди готовий надати руку, коли йдеться про безпеку мобільних пристроїв, навіть у вихідні дні. Ось його погляд на ситуацію:
"Файл account.db зберігається системою служби Android для централізованого управління обліковими записами облікових записів (наприклад, іменами користувачів та паролями) для додатків. За замовчуванням дозволи в базі даних облікових записів повинні робити файл доступним (тобто читати + записувати) для Користувач системи. Жоден сторонній додаток не повинен мати можливість безпосередньо отримувати доступ до файлу. Я розумію, що паролі чи маркери автентифікації дозволяється зберігати у простому тексті, оскільки файл захищений суворими дозволами. Також деякі служби (наприклад, Gmail) зберігають лексеми аутентифікації замість паролів, якщо служба їх підтримує, мінімізуючи ризик злому пароля користувача.
Для сторонніх додатків було б дуже небезпечно мати можливість читати цей файл, тому дуже важливо бути обережним при встановленні програм, які потребують кореневого доступу. Я думаю, що важливо, щоб усі користувачі, які користуються корінгом своїх телефонів, розуміли, що програми, що працюють під керуванням root, мають * повний * доступ до вашого телефону, включаючи інформацію про ваш обліковий запис.
Якщо база даних облікових записів мала б бути доступною для користувачів, які не є системою (наприклад, користувач або група власником на файл чимось іншим, ніж "система" або привілеї для читання у всьому світі), це було б великою вразливістю безпеки ".
Простіше кажучи, Android налаштований так, що програми не можуть читати бази даних, з якими вони не пов’язані. Але як тільки ви надаєте інструменти для програм, які запускаються як root, все це змінюється. Мало того, що хтось із фізичним доступом до вашого телефону перегляне ці файли та, можливо, отримає ваші дані для входу, може бути зроблений дуже неприємний зловмисне програмне забезпечення, яке робить те саме, що надсилає дані додому. Ми не знайшли жодного екземпляра подібних додатків у дикій природі, але будьте дуже уважні (як завжди) до встановлених програм, і прочитайте ці дозволи на програми!
Хоча це не стосується переважної більшості користувачів, було б краще зашифрувати ці записи в майбутніх версіях Android. Виявляється, хтось інший вважає це так, і на сторінках Google щодо проблем з Android є запис, на який зацікавлені сторони можуть зізнатися про нього, а також підняти список.
Ми, звичайно, не хочемо це дурити з пропорції, але знання - це сила в таких ситуаціях. Якщо ви вкоренили цей блискучий новий телефон Android, вживайте кілька додаткових запобіжних заходів, щоб бути в безпеці.
