虽然有些人可能会在周末闲逛池畔或在幼儿时举行派对,但有些人会坐下来讨厌。 我们很高兴在这种情况下,因为Cory(我们的Android中心论坛管理员)发现了许多我们需要注意的事情 - 在许多情况下,您的密码以纯文本形式存储在内部数据库中。 我们花了很多时间来跟踪问题,搜索谷歌的代码错误页面,测试运行各种ROM的各种手机,甚至打电话给专业人员进行澄清。 点击休息时间看看发现了什么,以及如果你扎根你的手机,你可能需要注意什么。 和科里的大道具!
需要明确的是,这只会影响root用户。 这也是我们强调在手机上运行root操作系统所带来的额外责任的一个重要原因。 如果你还没有扎根,这个特殊的问题不会影响你,但是如果只是为了让你放心,不是生根是正确的选择,它仍然值得一读。
花一点时间阅读我们的所有发现,科里已经在这里很好地列出了。 我将总结一下:某些应用程序,包括股票Froyo(Android 2.2)电子邮件客户端,将您的用户名和密码以纯文本形式存储在手机的内部帐户数据库中。 这包括POP和IMAP邮件帐户,以及Exchange帐户(如果它也是您的域登录信息,则可能会造成更大的问题)。 现在,在我们说天空正在下降之前,如果您的手机没有植根,那么没有任何应用程序可以读取此信息。 我们甚至与Lookout的联合创始人兼首席技术官Kevin McHaffey证实了这一点 - 即使在周末,他也随时愿意为移动安全提供帮助。 以下是他对这种情况的看法:
“accounts.db文件由android系统服务存储,以集中管理应用程序的帐户凭据(例如用户名和密码)。默认情况下,帐户数据库的权限应使文件只能访问(即读取或写入)到系统用户。没有第三方应用程序应该能够直接访问该文件。我的理解是密码或身份验证令牌允许以纯文本形式存储,因为该文件受到严格权限的保护。此外,一些服务(例如Gmail)存储如果服务支持密码,则使用身份验证令牌而不是密码,从而最大限度地降低用户密码泄露的风险。
第三方应用程序能够读取此文件非常危险,这就是在安装需要root访问权限的应用程序时要小心的原因。 我认为对于所有根电话的用户来说,了解以root用户身份运行的应用程序可以*完全*访问您的手机,包括您的帐户信息,这一点非常重要。
如果非系统用户可以访问帐户数据库(例如,文件的用户或组所有权不是“系统”或文件的世界读取权限),那么这将是一个很大的安全漏洞。“
换句话说,安装Android时,应用程序无法读取与之无关的数据库。 但是,一旦您提供应用程序以root身份运行的工具,所有这些都会发生变化。 有物理访问您手机的人不仅可以查看这些文件并且可能获得您的登录凭据,还可以制作一个非常恶劣的恶意软件来执行相同的操作并将数据发回国内。 我们没有在野外找到这样的应用程序的任何实例,但要非常小心(一如既往)您安装的应用程序,并阅读这些应用程序权限!
虽然这对绝大多数用户来说不是一个问题,但最好在未来的Android版本中加密这些条目。 事实证明,其他人都这么认为,并且谷歌的Android问题页面上有一个条目,感兴趣的各方可以通过明星来了解它并将其提升到列表中。
我们当然不希望将这种情况吹得不成比例,但在这种情况下,知识就是力量。 如果您使用了那款闪亮的新Android手机,请采取一些额外的预防措施以确保安全。
