Habang ang ilan ay maaaring gumugol ng kanilang mga katapusan ng linggo ng pahinga sa pool o sa sanggol na mga partido sa kaarawan, ang ilan ay nakaupo at nag-hack. Natutuwa kami sa kasong ito, dahil ang Cory (aming admin ng Central Central Forum) ay natagpuan ang isang bagay na kailangang maingat sa isang mahusay na bilang sa amin - sa maraming mga kaso ang iyong mga password ay nakaimbak bilang payak na teksto sa mga panloob na database. Ginugol namin ang isang mahusay na bahagi ng aming Sabado sa pagsubaybay sa mga isyu, paghampas sa mga pahina ng mga code ng Google, sinusubukan ang iba't ibang mga telepono na nagpapatakbo ng iba't ibang mga ROM, at kahit na tumawag sa pros para sa paglilinaw. Pindutin ang pahinga upang makita kung ano ang natagpuan, at kung ano ang maaaring kailangan mong panoorin kung na-root mo ang iyong telepono. At malaking props kay Cory!
Upang maging malinaw, nakakaapekto lamang ito sa mga nag-ugat na gumagamit. Ito rin ay isang mahusay na dahilan kung bakit namin binibigyang diin ang mga labis na responsibilidad na dumating sa pagpapatakbo ng isang nakaugat na OS sa iyong telepono. Kung hindi ka pa nag-ugat, ang partikular na isyu na ito ay hindi makakaapekto sa iyo, ngunit sulit pa rin ang pagbabasa kung lamang na mailagay ang iyong isip sa madali na hindi pag-rooting ay ang tamang pagpipilian.
Ilang sandali at basahin ang lahat ng aming mga natuklasan, na nakalista ng mabuti si Cory dito mismo. Ibubuod ko ang: Ang ilang mga aplikasyon, kabilang ang stock na e-mail ng Froyo (Android 2.2), itago ang iyong username at password bilang payak na teksto sa database ng mga panloob na account ng telepono. Kasama dito ang mga POP at IMAP mail account, pati na rin ang Exchange account (na maaaring magdulot ng isang malaking isyu kung ito rin ang iyong impormasyon sa pag-login sa domain). Ngayon bago namin sabihin ang langit ay bumabagsak, kung ang iyong telepono ay hindi nag-ugat, walang application na mabasa ito. Kinumpirma pa namin ito kay Kevin McHaffey, ang Co-Founder at CTO ng Lookout - na laging handa na magpahiram ng kamay kung saan nababahala ang mobile security, kahit na sa katapusan ng linggo. Narito ang kanyang gawin sa sitwasyon:
"Ang file.db file ay naka-imbak sa pamamagitan ng isang serbisyo ng android system upang sentral na pamahalaan ang mga kredensyal ng account (hal. Usernames at password) para sa mga aplikasyon. Bilang default, ang mga pahintulot sa database ng mga account ay dapat gawing ma-access lamang ang file (ie basahin + isulat) sa system user.Walang mga application ng third party ang dapat na direktang mai-access ang file.Ang aking pag-unawa ay ang mga password o mga token ng pagpapatunay ay pinahihintulutan na maiimbak sa payak na teksto dahil ang file ay protektado ng mahigpit na mga pahintulot. pagpapatunay ng mga token sa halip na mga password kung suportado ng serbisyo ang mga ito, binabawasan ang panganib ng password ng isang gumagamit na nakompromiso.
Ito ay lubhang mapanganib para sa mga application ng third party na magagawang basahin ang file na ito, kung bakit napakahalaga na maging maingat kapag nag-install ng mga application na nangangailangan ng pag-access sa ugat. Sa palagay ko mahalaga para sa lahat ng mga gumagamit na nag-ugat ng kanilang mga telepono upang maunawaan na ang mga app na tumatakbo bilang ugat ay may * buong * pag-access sa iyong telepono, kasama ang impormasyon ng iyong account.
Kung ang database ng mga account ay maa-access sa mga hindi gumagamit ng system (hal. Ang gumagamit o grupo ng pagmamay-ari ng file ng isang bagay maliban sa "system" o mga pribilehiyo na nabasa sa mundo sa file) magiging isang malaking kahinaan sa seguridad."
Upang mailagay ito sa mas simpleng mga term, naka-set up ang Android upang hindi mabasa ng mga app ang mga database na hindi sila nauugnay. Ngunit sa sandaling bibigyan mo ang mga tool para sa mga aplikasyon upang tumakbo bilang ugat, nagbabago ang lahat na ito. Hindi lamang maaaring ang isang tao na may pisikal na pag-access sa iyong telepono ay tumingin sa mga file na ito at posibleng makuha ang iyong mga kredensyal sa pag-login, isang napaka-bastos na piraso ng malware ay maaaring gawin na gawin ang parehong bagay at maipapabalik ang data sa bahay. Hindi namin nakita ang anumang mga pagkakataon ng mga app na tulad nito sa ligaw, ngunit maging maingat (tulad ng lagi) ng mga application na iyong nai-install, at basahin ang mga pahintulot ng application!
Bagaman hindi ito pag-aalala para sa karamihan ng mga gumagamit, mas mainam na i-encrypt ang mga entry na ito sa hinaharap na mga Android build. Lumiliko, iniisip ng ibang tao, at mayroong isang entry sa mga pahina ng isyu ng Google ng Google, na maaaring mag-star ang mga interesadong partido upang manatiling may kaalaman tungkol dito pati na rin ang pag-upo sa listahan.
Tiyak na hindi namin nais na pumutok sa labas ng proporsyon, ngunit ang kaalaman ay kapangyarihan sa mga sitwasyong tulad nito. Kung na-root mo ang makintab na bagong telepono ng Android, gumawa ng ilang dagdag na pag-iingat upang manatiling ligtas.
