בעוד שחלק עשויים לבלות את סופי השבוע בשכיבה על שפת הבריכה או במסיבות יום הולדת לפעוטות, חלקם יושבים וגורצים. אנו שמחים במקרה זה, מכיוון שקורי (מנהל הפורומים המרכזי של אנדרואיד שלנו) מצא משהו שחלק ניכר מאיתנו צריך להיזהר ממנו - במקרים רבים הסיסמאות שלך מאוחסנות כטקסט רגיל במסדי נתונים פנימיים. בילינו חלק לא מבוטל מהשבת שלנו במעקב אחר הנושאים, סורק את דפי באגי הקוד של גוגל, בדיקת טלפונים שונים המפעילים ROM שונה, ואפילו הזעקנו את המקצוענים לבירור. לחץ על הפסקה כדי לראות מה נמצא, ולמה ייתכן שתצטרך להסתכל אם השתרש את הטלפון שלך. ואביזרים גדולים לקורי!
כדי להיות ברור זה משפיע רק על משתמשים מושרשים. זוהי גם סיבה נהדרת מדוע אנו מדגישים את האחריות הנוספת שמגיעה עם הפעלת מערכת הפעלה מושרשת בטלפון שלך. אם לא השתרשתם, סוגיה מסוימת זו לא תשפיע עליכם, אך עדיין כדאי לקרוא ולו רק כדי להניח את דעתכם בנוחות שלא השתרשות הייתה הבחירה הנכונה.
קח רגע וקרא את כל הממצאים שלנו, שקורי פירט כאן ממש יפה. אסכם: אפליקציות מסוימות, כולל לקוח הדואר האלקטרוני Froyo (Android 2.2), מאחסנות את שם המשתמש והסיסמה שלכם כטקסט רגיל במסד הנתונים של החשבונות הפנימיים של הטלפון. זה כולל חשבונות דואר של POP ו- IMAP, כמו גם חשבונות Exchange (שיכולים להוות בעיה גדולה יותר אם זה גם פרטי הכניסה לתחום שלך). לפני שנאמר שהשמיים נופלים, אם הטלפון שלך אינו מושרש, אף יישום אינו מסוגל לקרוא זאת. אפילו אישרנו זאת עם קווין מקהפי, מייסד משותף ו- CTO של Lookout - שתמיד מוכן לתת יד בכל הנוגע לאבטחת מובייל, אפילו בסוף השבוע. להלן התייחסותו למצב:
"קובץ accounts.db מאוחסן על ידי שירות מערכת אנדרואיד לניהול מרכזי של אישורי חשבונות (למשל שמות משתמש וסיסמאות) עבור יישומים. כברירת מחדל, ההרשאות במסד הנתונים של החשבונות צריכות להנגיש את הקובץ רק (קריאה + לכתוב) לקובץ משתמש מערכת. אין יישומי צד שלישי צריכים להיות מסוגלים לגשת ישירות לקובץ. ההבנה שלי היא שמותר לאחסן סיסמאות או אסימוני אימות בטקסט רגיל מכיוון שהקובץ מוגן על ידי הרשאות קפדניות. כמו כן, חלק מהשירותים (למשל Gmail) מאחסנים אסימוני אימות במקום סיסמאות אם השירות תומך בהם, תוך צמצום הסיכון לפגיעה בסיסמת המשתמש.
מסוכן מאוד שיישומי צד ג 'יוכלו לקרוא קובץ זה, וזו הסיבה שחשוב מאוד להיזהר בעת התקנת יישומים הדורשים גישה לשורש. אני חושב שחשוב לכל המשתמשים המשתרשים בטלפונים שלהם להבין שלאפליקציות הפועלות כ- root יש גישה מלאה * לטלפון שלך, כולל פרטי החשבון שלך.
אם מסד הנתונים של החשבונות היה נגיש למשתמשים שאינם מערכת (למשל בעלות על משתמש או קבוצה על הקובץ, משהו שאינו "מערכת" או הרשאות קריאה עולמיות בקובץ), זו תהיה פגיעות אבטחה גדולה."
כדי לומר זאת במונחים פשוטים יותר, אנדרואיד מוגדר כך שאפליקציות לא יוכלו לקרוא מסדי נתונים שאינם קשורים אליהם. אבל ברגע שתספק את הכלים ליישומים שיופעלו כשורש, כל זה משתנה. לא רק שמישהו עם גישה פיזית לטלפון שלך יכול להסתכל על הקבצים האלה ואולי להשיג את אישורי ההתחברות שלך, ניתן ליצור פיסת תוכנה זדונית מאוד שעושה את אותו הדבר ושולח את הנתונים חזרה הביתה. לא מצאנו מקרים של אפליקציות כאלה בטבע, אך הקפד מאוד (כמו תמיד) ליישומים שאתה מתקין וקרא את הרשאות היישום האלה!
אמנם זה לא מהווה דאגה לרוב המכריע של המשתמשים, אך עדיף להצפין ערכים אלה בבניית אנדרואיד בעתיד. מסתבר, מישהו אחר חושב כך, ויש רשומה בדפי ההנפקות של אנדרואיד של גוגל, שמעוניינים יכולים לככב בכדי להישאר מעודכנים על כך, כמו גם להעלות אותה ברשימה.
אנחנו בהחלט לא רוצים לפוצץ את זה מפרופורציות, אבל ידע הוא כוח במצבים כמו זה. אם השתרשת את טלפון האנדרואיד החדש והמבריק הזה, קח כמה אמצעי זהירות נוספים בכדי להישאר בטוחים.
