Medtem ko nekateri svoje vikende lahko preživijo ob bazenu ali na rojstnodnevnih zabavah malčka, nekateri sedijo in kramljajo. V tem primeru smo veseli, saj je Cory (naš skrbnik foruma za Android Android) našel nekaj, na kar nas mora biti pozoren velik del - v mnogih primerih so vaša gesla shranjena kot navadno besedilo v notranjih bazah podatkov. Dober del naše sobote smo porabili za iskanje težav, brskanje po Googlovih straneh z napakami, preizkušanje različnih telefonov z različnimi ROM-i in celo klicanje prosilcev za razjasnitev. Pojdite na odmor, da vidite, kaj je bilo najdenega in na kaj boste morda morali paziti, če ste vkoreninili telefon. In veliki rekviziti za Cory!
Da bi bilo jasno, to vpliva samo na zakoreninjene uporabnike. To je tudi odličen razlog, zakaj poudarjamo dodatne odgovornosti, ki nastanejo z zagonom zakoreninjenega OS-a na vašem telefonu. Če se še niste ukoreninili, vas ta posebna težava ne bo prizadela, vendar je vseeno vredno prebrati, če želite le umiriti svoj um, da ni bilo ukoreninjenje prava izbira.
Vzemite si trenutek in preberite vse naše ugotovitve, ki jih je Cory tukaj lepo navedel. Povzemal bom: Nekatere aplikacije, vključno z e-poštnim odjemalcem Froyo (Android 2.2), shranijo vaše uporabniško ime in geslo kot navadno besedilo v podatkovni bazi notranjih računov telefona. To vključuje poštne račune POP in IMAP ter račune Exchange (kar bi lahko povzročilo večje težave, če gre tudi za podatke o prijavi vaše domene). Preden rečemo, da pada nebo, če vaš telefon ni zakoreninjen, nobena aplikacija tega ne more prebrati. To smo celo potrdili s Kevinom McHaffeyjem, soustanoviteljem in CTO of Lookout - ki je vedno pripravljen položiti roko, kadar gre za mobilno varnost, tudi ob koncu tedna. Tukaj je njegov pogled na situacijo:
"Datoteko account.db shrani sistemska storitev Android za centralno upravljanje poverilnic računa (npr. Uporabniška imena in gesla) za aplikacije. Privzeto bi morala dovoljenja v bazi računov omogočiti datoteko dostopno (tj. Branje in pisanje) za samo sistemski uporabnik. Nobena aplikacija drugih proizvajalcev ne bi smela imeti neposrednega dostopa do datoteke. Razumem, da je gesla ali žetone za preverjanje pristnosti dovoljeno shranjevati v navadnem besedilu, ker je datoteka zaščitena s strogimi dovoljenji. Prav tako nekatere storitve (npr. Gmail) shranjujejo žetone za preverjanje pristnosti namesto gesla, če jih storitev podpira, kar zmanjša tveganje, da bo uporabniško geslo ogroženo.
Zelo nevarno bi bilo, da bi aplikacije drugih proizvajalcev lahko prebrale to datoteko, zato je zelo pomembno, da bodite previdni pri nameščanju aplikacij, za katere je potreben korenski dostop. Mislim, da je pomembno, da vsi uporabniki, ki koreninijo svoje telefone, razumejo, da imajo aplikacije, ki se izvajajo kot root, * popoln * dostop do vašega telefona, vključno s podatki o vašem računu.
Če bi bila baza podatkov računov dostopna nesistemskim uporabnikom (npr. Lastništvo uporabnika ali skupine nad datoteko nekaj drugega kot "sistem" ali privilegiji branja po vsem svetu, bi bila to velika varnostna ranljivost."
Poenostavljeno rečeno, Android je nastavljen tako, da aplikacije ne morejo brati baz podatkov, s katerimi niso povezane. Ko pa zagotovite orodja, da se aplikacije zaženejo kot root, se vse to spremeni. Ne le, da lahko nekdo, ki ima fizični dostop do vašega telefona, pogleda te datoteke in po možnosti pridobi vaše poverilnice za prijavo, lahko naredi zelo grdo del zlonamerne programske opreme, ki stori isto in podatke pošlje nazaj domov. V naravi nismo našli nobenih primerkov takšnih aplikacij, vendar bodite zelo previdni (kot vedno) pri nameščenih aplikacijah in preberite ta dovoljenja za aplikacije!
Čeprav velika večina uporabnikov to ne skrbi, bi bilo bolje, da bi te vnose šifrirali v prihodnjih različicah Android. Izkazalo se je, da tako misli tudi nekdo drug in na Googlovih straneh z vprašanji za Android je vpisan vnos, na katerega lahko zainteresirane stranke ostanejo obveščene o njem in preberejo seznam.
Tega zagotovo ne želimo raznašati, a znanje je moč v takih situacijah. Če ste zakoreninili ta svetleč nov Android telefon, upoštevajte nekaj dodatnih varnostnih ukrepov, da boste varni.
