Mentre que alguns poden passar els caps de setmana passejant a la piscina o a les festes d'aniversari dels nens petits, alguns seuen i piquen. Ens alegrem en aquest cas, ja que Cory (el nostre administrador d'Android Central Forums) ha trobat una cosa que un bon nombre de nosaltres hem de tenir amb compte. En molts casos, les vostres contrasenyes es guarden com a text senzill en bases de dades internes. Vam passar una bona part del dissabte fent un seguiment dels problemes, cercant les pàgines d’errors de codi de Google, provant diversos telèfons amb diverses ROM, i fins i tot trucant els avantatges per obtenir aclariments. Feu clic al descans per veure què es troba i què podríeu haver de mirar si heu arrelat el telèfon. I grans puntals a Cory!
Per ser clar, això només afecta els usuaris arrelats. També és una excel·lent raó per la qual destaquem les responsabilitats addicionals que suposen l'execució d'un sistema operatiu arrelat al telèfon. Si no heu arrelat, aquest tema en concret no us afectarà, però val la pena llegir-lo si només us permetem que us proposem que l’arrelament no fos l’arrel.
Preneu-vos un moment i llegiu totes les nostres troballes, que Cory enumera força bé aquí mateix. Us resumiré: Algunes aplicacions, inclòs el client de correu electrònic de stock de Froyo (Android 2.2), emmagatzemen el vostre nom d’usuari i la vostra contrasenya com a text senzill a la base de dades de comptes interns del telèfon. Inclou comptes de correu POP i IMAP, així com comptes d’Exchange (que poden suposar un problema més gran si és també la informació d’inici de sessió del vostre domini). Ara abans diem que el cel cau, si el telèfon no està arrelat, cap aplicació és capaç de llegir-ho. Fins i tot ho vam confirmar amb Kevin McHaffey, cofundador i CTO de Lookout, que sempre està disposat a donar un cop de mà en matèria de seguretat mòbil, fins i tot el cap de setmana. A continuació s’explica la seva situació:
"El fitxer accounts.db és emmagatzemat per un servei del sistema Android per gestionar de forma centralitzada les credencials del compte (per exemple, noms d'usuari i contrasenyes) per a les aplicacions. De manera predeterminada, els permisos a la base de dades de comptes només haurien de fer que el fitxer sigui accessible (és a dir, llegir + escriure) a la Usuari del sistema. Cap aplicació de tercers hauria de poder accedir directament al fitxer. La meva comprensió és que es poden emmagatzemar contrasenyes o fitxes d’autenticació en text normal perquè el fitxer està protegit per permisos estrictes. També hi ha alguns serveis (per exemple, Gmail). fitxes d’autenticació en lloc de contrasenyes si el servei les suporta, minimitzant el risc de que la contrasenya d’un usuari es vegi compromesa.
Seria molt perillós que les aplicacions de tercers poguessin llegir aquest fitxer, per la qual cosa és molt important tenir cura en instal·lar aplicacions que requereixen accés root. Crec que és important que tots els usuaris que arrelen els telèfons entenguin que les aplicacions que funcionen com a root tenen accés * complet * al telèfon, inclosa la informació del vostre compte.
Si la base de dades de comptes hagués de ser accessible per a usuaris que no siguin del sistema (per exemple, la propietat de l’usuari o del grup del fitxer que no sigui un "sistema" o privilegis de lectura mundial al fitxer, seria una gran vulnerabilitat de seguretat."
Per dir-ho en termes més senzills, Android està configurat de manera que les aplicacions no puguin llegir bases de dades amb les quals no estan associades. Però un cop heu proporcionat les eines perquè les aplicacions funcionin com a root, tot això canvia. No només algú amb accés físic al telèfon pot mirar aquests fitxers i possiblement obtenir les vostres credencials d’inici de sessió, es podria fer un tristíssim programari maliciós que faci el mateix i enviï les dades de tornada a casa. No hem trobat cap cas d’aplicacions com aquesta en estat salvatge, però tingueu molta cura (com sempre) de les aplicacions que instal·leu i llegiu els permisos d’aplicació.
Tot i que això no és una preocupació per a la gran majoria d’usuaris, seria preferible xifrar aquestes entrades en futures versions d’Android. Resulta que algú més ho pensi, i hi ha una entrada a les pàgines d'emissions d'Android de Google que poden interessar-se per interessar-se per mantenir-se al dia i incloure-hi la llista.
Certament, no volem explotar aquesta proporció, però el coneixement és poder en situacions com aquesta. Si heu arrelat aquest nou telèfon Android brillant, heu de prendre algunes precaucions addicionals per no estar segur.
