Lai gan daži nedēļas nogales var pavadīt guļot pie baseina vai mazuļu dzimšanas dienas ballītēs, citi sēž un kapājas. Esam priecīgi par šo gadījumu, jo Korijs (mūsu Android centrālā foruma administrators) atrada kaut ko tādu, par ko daudziem mums ir jābūt uzmanīgiem - daudzos gadījumos jūsu paroles iekšējās datu bāzēs tiek glabātas kā vienkāršs teksts. Lielu daļu sestdienas mēs pavadījām, izsekojot šīm problēmām, meklējot Google kodu kļūdu lapas, pārbaudot dažādus tālruņus, kuros darbojas dažādi ROM, un pat aicinot uz skaidrību. Nospiediet pārtraukumu, lai redzētu atrasto un to, kas jums varētu būt nepieciešams skatīties, ja esat sakņojis tālruni. Un lielas butaforijas Korijam!
Skaidri sakot, tas ietekmē tikai iesakņotos lietotājus. Tas ir arī lielisks iemesls, kāpēc mēs uzsveram papildu pienākumus, kas saistīti ar sakņotas OS palaišanu tālrunī. Ja jūs vēl neesat sakņojies, šis konkrētais jautājums jūs neietekmēs, taču to joprojām ir vērts izlasīt, ja tikai lai atvieglotu prātu, ka sakņošanās nebija pareiza izvēle.
Veltiet laiku un izlasiet visus mūsu atradumus, kurus Korijs šeit ir diezgan labi uzskaitījis. Es apkopošu: noteiktas lietojumprogrammas, ieskaitot krājuma Froyo (Android 2.2) e-pasta klientu, jūsu lietotājvārdu un paroli kā vienkāršu tekstu saglabā tālruņa iekšējo kontu datu bāzē. Tas ietver POP un IMAP pasta kontus, kā arī Exchange kontus (kas varētu radīt lielāku problēmu, ja tā ir arī jūsu domēna pieteikšanās informācija). Tagad, pirms mēs sakām, ka debesis krīt, ja jūsu tālrunis nav sakņots, neviena programma to nespēj izlasīt. Mēs to pat apstiprinājām ar Kevin McHaffey, Lookout līdzdibinātāju un tehnisko vadītāju - kurš vienmēr ir gatavs aizdot roku arī mobilo sakaru drošības jomā, pat nedēļas nogalē. Viņa rīcība situācijā ir šāda:
"Kontu.db failu glabā android sistēmas pakalpojums, lai centralizēti pārvaldītu kontu akreditācijas datus (piemēram, lietotājvārdus un paroles). Pēc noklusējuma atļaujām kontu datu bāzē failam jābūt pieejamam tikai (ti, lasīt + rakstīt). sistēmas lietotājam. Neviena trešās puses lietojumprogramma nedrīkstētu tieši piekļūt failam. Mana izpratne ir tāda, ka paroles vai autentifikācijas pilnvaras ir atļauts glabāt vienkāršā tekstā, jo fails tiek aizsargāts ar stingrām atļaujām. Arī daži pakalpojumi (piemēram, Gmail) autentifikācijas pilnvaras paroļu vietā, ja pakalpojums tās atbalsta, līdz minimumam samazinot risku, ka lietotāja parole tiek apdraudēta.
Trešo personu lietojumprogrammām būtu ļoti bīstami lasīt šo failu, tāpēc ir ļoti svarīgi būt uzmanīgiem, instalējot programmas, kurām nepieciešama saknes pieeja. Es domāju, ka visiem lietotājiem, kuri sakņojas tālruņos, ir svarīgi saprast, ka lietotnēm, kuras darbojas kā root, ir * pilna * piekļuve jūsu tālrunim, ieskaitot jūsu konta informāciju.
Ja kontu datu bāze būtu pieejama lietotājiem, kas nav sistēmas (piemēram, faila lietotāja vai grupas īpašumtiesības uz failu, kas nav “sistēmas” vai pasaules lasīšanas privilēģijas), tā būtu liela drošības ievainojamība."
Vienkāršāk sakot, Android ir iestatīts tā, lai lietotnes nevarētu lasīt datu bāzes, ar kurām tās nav saistītas. Kad esat nodrošinājis rīkus, lai programmas darbotos kā saknes, tas viss mainās. Neviens, kam ir fiziska piekļuve jūsu tālrunim, var ne tikai apskatīt šos failus un, iespējams, iegūt jūsu pieteikšanās akreditācijas datus, bet arī var tikt izveidots ļoti nejauks ļaunprātīgas programmatūras gabals, kas dara to pašu un nosūta datus atpakaļ uz mājām. Mēs neatradām nevienu šāda veida lietotņu gadījumu dabiskā veidā, taču esiet ļoti uzmanīgs (kā vienmēr) attiecībā uz instalētajām lietojumprogrammām un izlasiet šīs lietojumprogrammu atļaujas!
Lai gan tas neraizējas lielākajai daļai lietotāju, nākamajās Android versijās būtu ieteicams šifrēt šos ierakstus. Izrādās, ka kāds cits tā domā, un Google Android izlaišanas lapās ir ieraksts, kuru interesenti var atzīmēt ar zvaigznīti, lai paliktu par to informēti, kā arī apkopotu sarakstu.
Mēs noteikti nevēlamies to izspiest no samērīguma, bet zināšanām ir spēks tādās situācijās kā šī. Ja esat sakņojis šo spīdīgo jauno Android tālruni, veiciet dažus papildu piesardzības pasākumus, lai saglabātu drošību.
