Terwijl sommigen hun weekend doorbrengen met luieren aan het zwembad of op verjaardagsfeestjes voor peuters, zitten sommigen in de weer. In dit geval zijn we blij, omdat Cory (onze Android Central Forums-beheerder) iets heeft gevonden waar een behoorlijk aantal van ons voorzichtig mee moet zijn - in veel gevallen worden je wachtwoorden als platte tekst opgeslagen in interne databases. We hebben een groot deel van onze zaterdag besteed aan het opsporen van de problemen, het doorzoeken van de pagina's met code-bugs van Google, het testen van verschillende telefoons met verschillende ROM's en zelfs het inschakelen van de professionals voor opheldering. Maak een pauze om te zien wat er is gevonden en waar je op moet letten als je je telefoon hebt geroot. En grote rekwisieten voor Cory!
Voor alle duidelijkheid: dit is alleen van invloed op geroote gebruikers. Het is ook een goede reden waarom we de extra verantwoordelijkheden benadrukken die gepaard gaan met het uitvoeren van een geroot besturingssysteem op je telefoon. Als je niet hebt geroot, heeft dit specifieke probleem geen invloed op je, maar het is nog steeds het lezen waard, alleen al om je gerust te stellen dat niet rooten de juiste keuze was.
Neem even de tijd om al onze bevindingen te lezen, die Cory hier heel mooi heeft opgesomd. Ik zal samenvatten: bepaalde toepassingen, waaronder de stock-e-mailclient van Froyo (Android 2.2), slaan uw gebruikersnaam en wachtwoord op als gewone tekst in de interne accountdatabase van de telefoon. Dit omvat POP- en IMAP-e-mailaccounts, evenals Exchange-accounts (wat een groter probleem zou kunnen zijn als het ook uw domeininloginformatie is). Voordat we zeggen dat de lucht valt, kan je toepassing dit niet lezen als je telefoon niet is geroot. We hebben dit zelfs bevestigd met Kevin McHaffey, de mede-oprichter en CTO van Lookout - die altijd klaar staat om een handje te helpen als het gaat om mobiele beveiliging, zelfs in het weekend. Dit is zijn mening over de situatie:
"Het accounts.db-bestand wordt opgeslagen door een Android-systeemservice om accountreferenties (bijv. Gebruikersnamen en wachtwoorden) voor applicaties centraal te beheren. Standaard moeten de machtigingen in de accountdatabase het bestand alleen toegankelijk maken (dwz lezen + schrijven) voor de systeemgebruiker. Geen applicaties van derden mogen direct toegang hebben tot het bestand. Ik begrijp dat wachtwoorden of authenticatietokens mogen worden opgeslagen in platte tekst omdat het bestand wordt beschermd door strikte machtigingen. Ook sommige services (bijv. Gmail) slaan op authenticatietokens in plaats van wachtwoorden als de service deze ondersteunt, waardoor het risico dat een wachtwoord van een gebruiker wordt aangetast, wordt geminimaliseerd.
Het zou zeer gevaarlijk zijn voor toepassingen van derden om dit bestand te kunnen lezen, daarom is het erg belangrijk om voorzichtig te zijn bij het installeren van toepassingen die root-toegang vereisen. Ik denk dat het belangrijk is voor alle gebruikers die hun telefoons rooten om te begrijpen dat apps die als root worden uitgevoerd * volledige * toegang tot je telefoon hebben, inclusief je accountgegevens.
Als de accountendatabase toegankelijk zou zijn voor niet-systeemgebruikers (bijv. Gebruikers- of groepseigendom van het bestand anders dan "systeem" of wereldwijde leesrechten op het bestand), zou dit een groot beveiligingslek zijn."
Simpel gezegd is Android zo ingesteld dat apps geen databases kunnen lezen waaraan ze niet zijn gekoppeld. Maar zodra u de tools voor applicaties hebt om als root te worden uitgevoerd, verandert dit allemaal. Niet alleen kan iemand met fysieke toegang tot uw telefoon deze bestanden bekijken en mogelijk uw inloggegevens verkrijgen, er kan ook een heel smerig stukje malware worden gemaakt dat hetzelfde doet en de gegevens naar huis stuurt. We hebben dergelijke apps niet in het wild gevonden, maar wees heel voorzichtig (zoals altijd) met de applicaties die u installeert en lees die applicatiemachtigingen!
Hoewel dit geen probleem is voor de overgrote meerderheid van gebruikers, verdient het de voorkeur om deze vermeldingen in toekomstige Android-builds te coderen. Blijkt, denkt iemand anders, en er is een vermelding op de Google-pagina's met Android-problemen, die geïnteresseerde partijen kunnen gebruiken om op de hoogte te blijven en de lijst te verhogen.
We willen dit zeker niet buiten proporties opblazen, maar kennis is macht in dergelijke situaties. Als je die glimmende nieuwe Android-telefoon hebt geroot, neem je een paar extra voorzorgsmaatregelen om veilig te blijven.
