Medan vissa kan spendera sina helger i en solstol vid bassängen eller vid småbarnsfödelsedagsfest, sitter vissa och hackar. Vi är glada i det här fallet, eftersom Cory (vår administratör av Android Central Forums) hittade något som ett stort antal av oss måste vara försiktiga med - i många fall lagras dina lösenord som vanlig text i interna databaser. Vi tillbringade en bra del av vår lördag på att spåra problemen, skura Googles sidbuggsidor, testa olika telefoner som kör olika ROM och till och med ringa proffsen för att få klarhet. Tryck pausen för att se vad som hittades och vad du kan behöva se efter om du har rotat din telefon. Och stora rekvisita till Cory!
För att vara tydlig påverkar detta bara rotade användare. Det är också ett bra skäl till varför vi betonar de extra ansvar som följer med att köra ett rotat operativsystem på din telefon. Om du inte har förankrat kommer den här frågan inte att påverka dig, men det är fortfarande värt att läsa om bara för att sätta ditt sinne på ett bekvämt sätt att inte rooting var rätt val.
Ta dig en stund och läs alla våra resultat, som Cory har listat ganska snyggt här. Jag ska sammanfatta: Vissa applikationer, inklusive lager Froyo (Android 2.2) e-postklient, lagrar ditt användarnamn och lösenord som vanlig text i telefonens interna kontodatabas. Detta inkluderar POP- och IMAP-postkonton samt Exchange-konton (vilket kan utgöra ett större problem om det också är din domäninloggningsinformation). Nu innan vi säger att himlen faller, om din telefon inte är förankrad, kan ingen applikation läsa detta. Vi bekräftade till och med detta med Kevin McHaffey, grundare och CTO för Lookout - som alltid är redo att ge en hand när det gäller mobilsäkerhet, även på helgen. Här är hans tag på situationen:
"Filen accounts.db lagras av en android-systemtjänst för att centralt hantera kontouppgifter (t.ex. användarnamn och lösenord) för applikationer. Som standard bör behörigheterna i kontodatabasen göra filen endast tillgänglig (dvs. läsa + skriva) till systemanvändare. Inga tredjepartsapplikationer ska kunna få direkt åtkomst till filen. Min förståelse är att lösenord eller autentiseringstoken tillåts lagras i vanlig text eftersom filen är skyddad av stränga behörigheter. Även vissa tjänster (t.ex. Gmail) lagrar autentiseringstoken istället för lösenord om tjänsten stöder dem, vilket minimerar risken för att en användares lösenord komprometteras.
Det skulle vara mycket farligt för tredjepartsapplikationer att kunna läsa den här filen, varför det är mycket viktigt att vara försiktig när du installerar program som kräver root-åtkomst. Jag tror att det är viktigt för alla användare som rotar sina telefoner att förstå att appar som kör som root har * full * åtkomst till din telefon, inklusive din kontoinformation.
Om kontodatabasen skulle vara tillgänglig för icke-systemanvändare (t.ex. användar- eller gruppägande av filen något annat än "system" eller världsläsningsbehörighet på filen) skulle det vara ett stort säkerhetsproblem."
För att sätta detta i enklare termer är Android konfigurerat så att appar inte kan läsa databaser som de inte är associerade med. Men när du tillhandahåller verktygen för att applikationer ska fungera som root förändras allt detta. Inte bara kan någon med fysisk åtkomst till din telefon titta på dessa filer och eventuellt få dina inloggningsuppgifter, en mycket otäck bit av skadlig programvara kan göras som gör samma sak och skickar informationen hem. Vi hittade inga förekomster av appar som detta ute i naturen, men var mycket försiktiga (som alltid) med de applikationer du installerar och läs dessa applikationsbehörigheter!
Även om detta inte är en oro för de allra flesta användare, skulle det vara att föredra att kryptera dessa poster i framtida Android-bygg. Det visar sig, någon annan tycker det, och det finns ett inlägg på Googles Android-utgivarsidor, som intresserade kan starta för att hålla sig informerade om det såväl som att stöta på listan.
Vi vill verkligen inte blåsa ut detta i proportion, men kunskap är makt i sådana situationer. Om du har förankrat den glänsande nya Android-telefonen, ta några extra försiktighetsåtgärder för att hålla dig säker.
