Walaupun ada yang boleh menghabiskan hujung minggu mereka berehat di tepi kolam renang atau pada pesta ulang tahun kanak-kanak, ada yang duduk dan menggodam. Kami gembira dalam kes ini, kerana Cory (pentadbir Forum Android Android kami) mendapati sesuatu yang banyak kita perlu berhati-hati - dalam banyak kes kata laluan anda disimpan sebagai teks biasa dalam pangkalan data dalaman. Kami membelanjakan sebahagian besar hari Sabtu kami menjejaki isu-isu, menjelajahi halaman pepijat kod Google, menguji pelbagai telefon yang menjalankan pelbagai ROM, dan juga memanggil pro untuk penjelasan. Pukul rehat untuk melihat apa yang ditemui, dan apa yang anda perlu lihat jika anda telah mengakar telefon anda. Dan alat besar untuk Cory!
Untuk menjadi jelas, ini hanya memberi kesan kepada pengguna berakar. Ia juga merupakan sebab utama mengapa kita menekankan tanggungjawab tambahan yang datang dengan menjalankan OS yang di-rooted pada telefon anda. Sekiranya anda tidak berakar, isu khusus ini tidak akan menjejaskan anda, tetapi ia masih bernilai membaca sekiranya hanya meletakkan minda anda dengan mudah bahawa bukan perakaran adalah pilihan yang tepat.
Luangkan sedikit masa dan baca semua penemuan kami, yang Cory telah menyenaraikan dengan baik di sini. Saya akan meringkaskan: Aplikasi tertentu, termasuk pelanggan e-mel Froyo (Android 2.2), menyimpan nama pengguna dan kata laluan anda sebagai teks biasa dalam pangkalan data akaun dalaman telefon. Ini termasuk akaun mel POP dan IMAP, serta akaun Exchange (yang boleh menimbulkan masalah yang lebih besar jika ia juga maklumat log masuk domain anda). Sekarang sebelum kita mengatakan langit jatuh, jika telefon anda tidak berakar, tiada aplikasi dapat membaca ini. Kami juga mengesahkannya dengan Kevin McHaffey, Pengasas bersama dan CTO Lookout - yang sentiasa bersedia untuk meminjamkan tangan di mana keselamatan mudah alih bimbang, walaupun pada hujung minggu. Berikut adalah keadaannya:
"Fail accounts.db disimpan oleh khidmat sistem android untuk menguruskan kelayakan akaun secara berpusat (mis. Nama pengguna dan kata laluan) untuk aplikasi. Secara lalai, kebenaran pada pangkalan data akaun harus membuat fail hanya boleh diakses (iaitu baca + tulis) ke pengguna sistem Tidak ada aplikasi pihak ketiga yang dapat mengakses fail secara langsung.Pengertian saya adalah kata laluan atau token pengesahan dibenarkan disimpan dalam teks biasa kerana fail dilindungi oleh kebenaran yang ketat.Juga, beberapa perkhidmatan (misalnya Gmail) menyimpan token pengesahan bukan kata laluan jika perkhidmatan menyokongnya, meminimumkan risiko kata laluan pengguna yang dikompromikan.
Ia sangat berbahaya untuk aplikasi pihak ketiga untuk dapat membaca fail ini, sebab itu sangat penting untuk berhati-hati ketika memasang aplikasi yang memerlukan akses root. Saya fikir penting bagi semua pengguna yang menghidupkan telefon mereka untuk memahami bahawa aplikasi yang berjalan sebagai root mempunyai * akses penuh * ke telefon anda, termasuk maklumat akaun anda.
Jika pangkalan data akaun dapat diakses oleh pengguna bukan sistem (contohnya pengguna atau pemilikan kumpulan sesuatu fail selain "sistem" atau keistimewaan membaca dunia pada fail) itu akan menjadi kelemahan keselamatan yang besar."
Untuk meletakkannya dalam istilah yang lebih mudah, Android telah disediakan supaya aplikasi tidak dapat membaca pangkalan data yang tidak dikaitkan dengannya. Tetapi sebaik sahaja anda menyediakan alat untuk aplikasi berjalan sebagai root, semua perubahan ini. Bukan sahaja seseorang yang mempunyai akses fizikal ke telefon anda melihat fail-fail ini dan mungkin mendapatkan kelayakan login anda, sekeping malware yang sangat jahat boleh dibuat yang melakukan perkara yang sama dan menghantar data kembali ke rumah. Kami tidak menemui apa-apa contoh apl seperti ini di alam liar, tetapi berhati-hati (seperti biasa) aplikasi yang anda pasang, dan baca kebenaran aplikasinya!
Walaupun ini bukan keprihatinan untuk majoriti pengguna, lebih baik untuk menyulitkan entri ini dalam pembangun Android masa depan. Ternyata, orang lain fikir begitu, dan ada entri di halaman isu Android Google, yang pihak yang berkepentingan boleh membintangi untuk memaklumkan mengenainya serta menyenaraikannya.
Kami pastinya tidak mahu meniup bahagian ini, tetapi pengetahuan adalah kuasa dalam keadaan seperti ini. Jika anda telah mengakar telefon Android baru yang berkilat, ambil sedikit langkah berjaga-jaga untuk tetap selamat.
