В то время как некоторые могут проводить свои выходные, отдыхая у бассейна или на вечеринках по случаю дня рождения малыша, некоторые сидят и взламывают. Мы рады, что в этом случае Кори (наш администратор форумов Android) обнаружил кое-что, с чем многие из нас должны быть осторожны - во многих случаях ваши пароли хранятся в виде простого текста во внутренних базах данных. Мы потратили значительную часть нашей субботы, отслеживая проблемы, обыскивая страницы с ошибками в коде Google, тестируя различные телефоны с различными ПЗУ, и даже обращаясь к профессионалам за разъяснениями. Перейдите на перерыв, чтобы увидеть, что было найдено, и что вам может понадобиться, если вы рутировали свой телефон. И большой реквизит Кори!
Чтобы было ясно, это влияет только на корневых пользователей. Это также веская причина, по которой мы подчеркиваем дополнительные обязанности, связанные с запуском операционной системы на вашем телефоне. Если вы не получили root-права, эта конкретная проблема не повлияет на вас, но ее все равно стоит прочитать, если вы просто хотите, чтобы не рутирование было правильным выбором.
Найдите минутку и прочитайте все наши выводы, которые Кори довольно неплохо перечислил прямо здесь. Подведу итог: некоторые приложения, в том числе стандартный почтовый клиент Froyo (Android 2.2), хранят ваше имя пользователя и пароль в виде обычного текста в базе данных внутренних учетных записей телефона. Это включает в себя почтовые учетные записи POP и IMAP, а также учетные записи Exchange (которые могут представлять большую проблему, если это также информация для входа в домен). Теперь, прежде чем мы скажем, что небо падает, если ваш телефон не рутирован, ни одно приложение не сможет это прочитать. Мы даже подтвердили это с Кевином МакХэфи, соучредителем и техническим директором Lookout, который всегда готов протянуть руку помощи в вопросах безопасности мобильных устройств даже в выходные дни. Вот его взгляд на ситуацию:
«Файл accounts.db хранится системной службой Android для централизованного управления учетными данными (например, именами пользователей и паролями) для приложений. По умолчанию разрешения в базе данных учетных записей должны делать файл доступным только (т.е. чтение + запись) для Пользователь системы. Никакие сторонние приложения не должны иметь прямого доступа к файлу. Насколько я понимаю, пароли или токены аутентификации могут храниться в виде простого текста, поскольку файл защищен строгими разрешениями. Кроме того, некоторые службы (например, Gmail) хранят токены аутентификации вместо паролей, если служба их поддерживает, что сводит к минимуму риск взлома пароля пользователя.
Для сторонних приложений было бы очень опасно иметь возможность читать этот файл, поэтому очень важно быть осторожным при установке приложений, требующих root-доступа. Я думаю, что для всех пользователей, имеющих root-права на своих телефонах, важно понимать, что приложения, работающие с правами root, имеют «полный» доступ к вашему телефону, включая информацию об учетной записи.
Если бы база данных учетных записей была доступна для несистемных пользователей (например, пользователь или группа, владеющая файлом чем-то, кроме «системных» или общедоступных прав чтения файла), это было бы большой уязвимостью безопасности ».
Проще говоря, Android настроен так, что приложения не могут читать базы данных, с которыми они не связаны. Но как только вы предоставите инструменты для приложений для запуска от имени root, все это изменится. Мало того, что кто-то, имеющий физический доступ к вашему телефону, может посмотреть эти файлы и, возможно, получить ваши учетные данные для входа в систему, может быть создан очень неприятный вредоносный код, который делает то же самое и отправляет данные домой. Мы не обнаружили ни одного экземпляра таких приложений в дикой природе, но будьте очень осторожны (как всегда) с приложениями, которые вы устанавливаете, и прочитайте эти разрешения приложений!
Хотя это не представляет проблемы для подавляющего большинства пользователей, было бы предпочтительным шифровать эти записи в будущих сборках Android. Оказывается, кто-то еще так думает, и на страницах проблем Google для Android есть запись, на которой заинтересованные стороны могут в первую очередь получать информацию об этом, а также увеличивать список.
Мы, конечно, не хотим взорвать это соразмерно, но знание - сила в таких ситуациях. Если вы внедрили этот новый блестящий телефон Android, примите несколько дополнительных мер предосторожности, чтобы оставаться в безопасности.