Trong khi một số người có thể dành những ngày cuối tuần để thư giãn bên hồ bơi hoặc trong các bữa tiệc sinh nhật cho trẻ mới biết đi, một số người ngồi và hack. Trong trường hợp này, chúng tôi rất vui vì Cory (quản trị viên Diễn đàn trung tâm Android của chúng tôi) đã tìm thấy một điều mà một số lượng lớn chúng tôi cần phải cẩn thận - trong nhiều trường hợp mật khẩu của bạn được lưu trữ dưới dạng văn bản thuần trong cơ sở dữ liệu nội bộ. Chúng tôi đã dành một phần tốt trong ngày thứ Bảy để theo dõi các vấn đề, truy quét các trang lỗi mã của Google, kiểm tra các điện thoại khác nhau chạy các ROM khác nhau và thậm chí gọi các chuyên gia để làm rõ. Nhấn vào giờ nghỉ để xem những gì đã được tìm thấy và những gì bạn có thể cần xem nếu bạn đã root điện thoại của mình. Và đạo cụ lớn cho Cory!
Để rõ ràng, điều này chỉ ảnh hưởng đến người dùng đã root. Đó cũng là một lý do tuyệt vời tại sao chúng tôi nhấn mạnh các trách nhiệm bổ sung đi kèm với việc chạy HĐH gốc trên điện thoại của bạn. Nếu bạn chưa root, vấn đề cụ thể này sẽ không ảnh hưởng đến bạn, nhưng vẫn đáng để đọc nếu chỉ để tâm trí bạn thoải mái rằng không root máy là lựa chọn đúng đắn.
Hãy dành một chút thời gian và đọc tất cả những phát hiện của chúng tôi, mà Cory đã liệt kê ra khá độc đáo ngay tại đây. Tôi sẽ tóm tắt: Một số ứng dụng, bao gồm ứng dụng email khách hàng Froyo (Android 2.2), lưu tên người dùng và mật khẩu của bạn dưới dạng văn bản thuần trong cơ sở dữ liệu tài khoản nội bộ của điện thoại. Điều này bao gồm các tài khoản thư POP và IMAP, cũng như các tài khoản Exchange (có thể gây ra vấn đề lớn hơn nếu đó cũng là thông tin đăng nhập tên miền của bạn). Bây giờ trước khi chúng tôi nói bầu trời sụp đổ, nếu điện thoại của bạn không được root, không có ứng dụng nào có thể đọc được điều này. Chúng tôi thậm chí đã xác nhận điều này với Kevin McHaffey, Đồng sáng lập và CTO của Lookout - người luôn sẵn sàng cho mượn một bàn tay nơi an ninh di động có liên quan, ngay cả vào cuối tuần. Đây là tình huống của anh ấy:
"Tệp Tài khoản.db được lưu trữ bởi một dịch vụ hệ thống Android để quản lý tập trung thông tin đăng nhập tài khoản (ví dụ: tên người dùng và mật khẩu) cho các ứng dụng. Theo mặc định, các quyền trên cơ sở dữ liệu tài khoản sẽ làm cho tệp chỉ có thể truy cập (ví dụ đọc + ghi) Người dùng hệ thống. Không có ứng dụng bên thứ ba nào có thể truy cập trực tiếp vào tệp. Hiểu biết của tôi là mật khẩu hoặc mã xác thực được phép lưu trữ trong văn bản thuần vì tệp được bảo vệ bởi các quyền nghiêm ngặt. Ngoài ra, một số dịch vụ (ví dụ: Gmail) lưu trữ mã thông báo xác thực thay vì mật khẩu nếu dịch vụ hỗ trợ chúng, giảm thiểu rủi ro mật khẩu của người dùng bị xâm phạm.
Sẽ rất nguy hiểm khi các ứng dụng của bên thứ ba có thể đọc tệp này, đó là lý do tại sao việc cẩn thận khi cài đặt các ứng dụng yêu cầu quyền truy cập root là rất quan trọng. Tôi nghĩ rằng điều quan trọng đối với tất cả người dùng root điện thoại của họ là hiểu rằng các ứng dụng chạy bằng root có quyền truy cập * đầy đủ * vào điện thoại của bạn, bao gồm cả thông tin tài khoản của bạn.
Nếu cơ sở dữ liệu tài khoản có thể truy cập được đối với người dùng không phải là hệ thống (ví dụ: quyền sở hữu của người dùng hoặc nhóm đối với tệp không phải là hệ thống, thì các đặc quyền đọc trên thế giới trên tệp), đó sẽ là một lỗ hổng bảo mật lớn."
Nói một cách đơn giản hơn, Android được thiết lập để các ứng dụng không thể đọc cơ sở dữ liệu mà chúng không liên quan. Nhưng một khi bạn cung cấp các công cụ cho các ứng dụng chạy bằng root, tất cả điều này sẽ thay đổi. Không chỉ ai đó có quyền truy cập vật lý vào điện thoại của bạn có thể xem các tệp này và có thể có được thông tin đăng nhập của bạn, một phần mềm độc hại rất khó chịu cũng có thể được thực hiện tương tự và gửi dữ liệu về nhà. Chúng tôi không tìm thấy bất kỳ trường hợp ứng dụng nào như thế này ngoài tự nhiên, nhưng hãy cẩn thận (như mọi khi) các ứng dụng bạn cài đặt và đọc các quyền ứng dụng đó!
Mặc dù điều này không phải là mối quan tâm của đại đa số người dùng, nhưng tốt hơn hết là nên mã hóa các mục này trong các bản dựng Android trong tương lai. Hóa ra, một người khác nghĩ vậy và có một mục tại các trang vấn đề Android của Google, mà các bên quan tâm có thể đánh dấu sao để được thông báo về điều đó cũng như đưa nó vào danh sách.
Chúng tôi chắc chắn không muốn thổi bay tỷ lệ này, nhưng kiến thức là sức mạnh trong những tình huống như thế này. Nếu bạn đã root điện thoại Android mới sáng bóng đó, hãy thực hiện một số biện pháp phòng ngừa bổ sung để giữ an toàn.
