Während einige ihre Wochenenden am Pool oder bei Geburtstagsfeiern für Kleinkinder verbringen, sitzen einige und hacken. In diesem Fall sind wir froh, dass Cory (unser Administrator für die zentralen Android-Foren) etwas gefunden hat, mit dem sich ein großer Teil von uns befassen muss. In vielen Fällen werden Ihre Passwörter als einfacher Text in internen Datenbanken gespeichert. Wir haben einen Großteil unseres Samstags damit verbracht, die Probleme aufzuspüren, die Code-Bugs-Seiten von Google zu durchsuchen, verschiedene Telefone mit verschiedenen ROMs zu testen und sogar die Profis zur Klärung hinzuzuziehen. Machen Sie eine Pause, um zu sehen, was gefunden wurde und worauf Sie achten müssen, wenn Sie Ihr Telefon verwurzelt haben. Und große Requisiten an Cory!
Dies betrifft nur Benutzer mit Rootberechtigung. Dies ist auch ein guter Grund, warum wir die zusätzlichen Verantwortlichkeiten betonen, die mit dem Ausführen eines verwurzelten Betriebssystems auf Ihrem Telefon verbunden sind. Wenn Sie nicht verwurzelt sind, betrifft Sie dieses spezielle Problem nicht, aber es lohnt sich trotzdem, es zu lesen, um sich zu beruhigen, dass das Nicht-Verwurzeln die richtige Wahl war.
Nehmen Sie sich einen Moment Zeit und lesen Sie alle unsere Ergebnisse, die Cory hier ganz genau aufgelistet hat. Ich fasse zusammen: Bestimmte Anwendungen, einschließlich des Standard-E-Mail-Clients von Froyo (Android 2.2), speichern Ihren Benutzernamen und Ihr Kennwort als Klartext in der internen Kontendatenbank des Telefons. Dies umfasst POP- und IMAP-E-Mail-Konten sowie Exchange-Konten (die ein größeres Problem darstellen können, wenn es sich auch um Ihre Domain-Anmeldeinformationen handelt). Bevor wir jetzt sagen, dass der Himmel fällt, kann keine Anwendung dies lesen, wenn Ihr Telefon nicht verwurzelt ist. Wir haben dies sogar mit Kevin McHaffey, dem Mitbegründer und CTO von Lookout, bestätigt, der auch am Wochenende immer bereit ist, Hand in Hand zu gehen, wenn es um mobile Sicherheit geht. Hier ist seine Sicht auf die Situation:
"Die Datei accounts.db wird von einem Android - Systemdienst gespeichert, um die Anmeldeinformationen des Kontos (z. B. Benutzernamen und Kennwörter) für Anwendungen zentral zu verwalten. Standardmäßig sollten die Berechtigungen für die Kontendatenbank den Zugriff auf die Datei (dh Lesen + Schreiben) auf die Datenbank beschränken Systembenutzer: Es sollten keine Anwendungen von Drittanbietern in der Lage sein, direkt auf die Datei zuzugreifen. Nach meinem Verständnis dürfen Kennwörter oder Authentifizierungstoken im Nur-Text-Format gespeichert werden, da die Datei durch strenge Berechtigungen geschützt ist. Außerdem werden einige Dienste (z. B. Google Mail) gespeichert Authentifizierungstoken anstelle von Kennwörtern, wenn der Dienst sie unterstützt, um das Risiko einer Gefährdung des Kennworts eines Benutzers zu minimieren.
Für Anwendungen von Drittanbietern wäre es sehr gefährlich, diese Datei lesen zu können. Daher ist es sehr wichtig, bei der Installation von Anwendungen, die Root-Zugriff erfordern, vorsichtig zu sein. Ich halte es für wichtig, dass alle Benutzer, die ihre Telefone als Root anmelden, verstehen, dass Apps, die als Root ausgeführt werden, * vollen * Zugriff auf Ihr Telefon haben, einschließlich Ihrer Kontoinformationen.
Wenn die Kontendatenbank für Nicht-Systembenutzer zugänglich sein sollte (z. B. Benutzer- oder Gruppenbesitz der Datei, die keine System- oder Weltleseberechtigungen für die Datei besitzen), wäre dies eine große Sicherheitslücke."
Einfacher ausgedrückt ist Android so eingerichtet, dass Apps keine Datenbanken lesen können, mit denen sie nicht verbunden sind. Sobald Sie jedoch die Tools für die Ausführung von Anwendungen als Root bereitstellen, ändert sich dies. Nicht nur, dass jemand mit physischem Zugriff auf Ihr Telefon auf diese Dateien zugreifen und möglicherweise Ihre Anmeldeinformationen abrufen kann, es kann auch eine sehr böse Malware erstellt werden, die dasselbe tut und die Daten nach Hause sendet. Wir haben keine Instanzen solcher Apps in freier Wildbahn gefunden, aber seien Sie (wie immer) sehr vorsichtig mit den von Ihnen installierten Anwendungen und lesen Sie diese Anwendungsberechtigungen!
Dies ist zwar kein Problem für die große Mehrheit der Benutzer, es ist jedoch vorzuziehen, diese Einträge in zukünftigen Android-Builds zu verschlüsseln. Es stellt sich heraus, dass jemand anderes dies denkt, und es gibt einen Eintrag auf den Android-Heftseiten von Google, auf dem Interessenten starren können, um darüber informiert zu bleiben und die Liste zu erweitern.
Wir wollen dies sicherlich nicht überproportional auslöschen, aber Wissen ist in solchen Situationen Macht. Wenn Sie dieses glänzende neue Android-Telefon verwurzelt haben, treffen Sie ein paar zusätzliche Vorsichtsmaßnahmen, um sicher zu gehen.
