ในขณะที่บางคนอาจใช้เวลาช่วงสุดสัปดาห์พักผ่อนริมสระน้ำหรือปาร์ตี้วันเกิดเด็กวัยหัดเดินบางคนนั่งและแฮก เรายินดีในกรณีนี้เนื่องจาก Cory (ผู้ดูแลระบบ Android ศูนย์กลางของเรา) พบบางสิ่งที่เราจำเป็นต้องระมัดระวังจำนวนมาก - ในหลายกรณีรหัสผ่านของคุณจะถูกเก็บไว้เป็นข้อความธรรมดาในฐานข้อมูลภายใน เราใช้เวลาส่วนหนึ่งในการติดตามปัญหาวันเสาร์หน้ากำจัดข้อผิดพลาดของโค้ดของ Google ทดสอบโทรศัพท์ต่าง ๆ ที่ใช้ ROM ต่าง ๆ และแม้แต่โทรหาผู้เชี่ยวชาญเพื่อขอความกระจ่าง ชมตัวแบ่งเพื่อดูสิ่งที่พบและสิ่งที่คุณอาจต้องระวังหากคุณรูทโทรศัพท์ของคุณ และอุปกรณ์ประกอบฉากขนาดใหญ่ถึงคอรี!
เพื่อความชัดเจนนี่จะมีผลกับผู้ใช้ที่รูทเครื่องเท่านั้น เป็นเหตุผลที่ดีที่เราเน้นถึงความรับผิดชอบพิเศษที่มาพร้อมกับการใช้งานระบบปฏิบัติการที่รูทเครื่องบนโทรศัพท์ของคุณ หากคุณยังไม่ได้รูทปัญหานี้จะไม่ส่งผลกระทบต่อคุณ แต่มันก็ยังคุ้มค่าที่จะอ่านถ้าเพียงให้ความสนใจกับตัวเองว่าการรูทนั้นไม่ใช่ทางเลือกที่ถูกต้อง
สละเวลาสักครู่และอ่านข้อค้นพบทั้งหมดของเราซึ่งคอรีได้เขียนไว้ค่อนข้างดีที่นี่ ฉันจะสรุป: แอปพลิเคชั่นบางอย่างรวมถึงไคลเอนต์อีเมล Froyo (Android 2.2) หุ้นเก็บชื่อผู้ใช้และรหัสผ่านของคุณเป็นข้อความธรรมดาในฐานข้อมูลบัญชีภายในของโทรศัพท์ ซึ่งรวมถึงบัญชีอีเมล POP และ IMAP รวมถึงบัญชี Exchange (ซึ่งอาจเป็นปัญหาที่ใหญ่กว่าหากเป็นข้อมูลเข้าสู่ระบบโดเมนของคุณด้วย) ตอนนี้ก่อนที่เราจะบอกว่าท้องฟ้ากำลังลดลงหากโทรศัพท์ของคุณไม่รูทไม่มีแอปพลิเคชันใดสามารถอ่านได้ เรายังยืนยันเรื่องนี้กับ Kevin McHaffey ผู้ร่วมก่อตั้งและ CTO ของ Lookout - ผู้ซึ่งพร้อมเสมอที่จะให้ยืมมือที่เกี่ยวข้องกับการรักษาความปลอดภัยมือถือแม้ในช่วงสุดสัปดาห์ นี่คือสถานการณ์ของเขา:
"ไฟล์ accounts.db ถูกจัดเก็บโดยบริการระบบ Android เพื่อจัดการข้อมูลบัญชีจากส่วนกลาง (เช่นชื่อผู้ใช้และรหัสผ่าน) สำหรับแอปพลิเคชันโดยค่าเริ่มต้นสิทธิ์ในฐานข้อมูลบัญชีควรทำให้ไฟล์เข้าถึงได้เท่านั้น (เช่นอ่าน + เขียน) ไปยัง ผู้ใช้ระบบไม่มีแอปพลิเคชันของบุคคลที่สามใด ๆ ที่สามารถเข้าถึงไฟล์ได้โดยตรงความเข้าใจของฉันคือรหัสผ่านหรือโทเค็นการตรวจสอบสิทธิ์ได้รับอนุญาตให้จัดเก็บในรูปแบบข้อความธรรมดาเพราะไฟล์ได้รับการป้องกัน โทเค็นการรับรองความถูกต้องแทนรหัสผ่านถ้าบริการสนับสนุนพวกเขาลดความเสี่ยงของรหัสผ่านของผู้ใช้ที่ถูกบุกรุก
อาจเป็นอันตรายอย่างยิ่งสำหรับแอปพลิเคชันของบุคคลที่สามที่สามารถอ่านไฟล์นี้ได้ซึ่งเป็นเหตุผลที่สำคัญมากที่จะต้องระมัดระวังเมื่อติดตั้งแอปพลิเคชันที่ต้องมีการเข้าถึงรูท ฉันคิดว่ามันเป็นสิ่งสำคัญสำหรับผู้ใช้ทุกคนที่รูทโทรศัพท์เพื่อทำความเข้าใจว่าแอปที่ทำงานตามรูทนั้นมีสิทธิ์เข้าถึง * แบบเต็ม * ไปยังโทรศัพท์ของคุณรวมถึงข้อมูลบัญชีของคุณ
หากฐานข้อมูลบัญชีนั้นสามารถเข้าถึงได้โดยผู้ใช้ที่ไม่ใช่ระบบ (เช่นผู้ใช้หรือกลุ่มเจ้าของไฟล์อย่างอื่นที่ไม่ใช่“ ระบบ” หรือสิทธิ์การอ่านระดับโลกในไฟล์) มันจะเป็นช่องโหว่ด้านความปลอดภัยขนาดใหญ่”
ในการทำให้คำนี้ง่ายขึ้น Android ได้รับการตั้งค่าเพื่อให้แอปไม่สามารถอ่านฐานข้อมูลที่ไม่เกี่ยวข้อง แต่เมื่อคุณจัดเตรียมเครื่องมือสำหรับแอปพลิเคชันเพื่อทำงานในฐานะรูทการเปลี่ยนแปลงทั้งหมดนี้ ไม่เพียง แต่คนที่สามารถเข้าถึงโทรศัพท์ของคุณเท่านั้นที่สามารถดูไฟล์เหล่านี้และอาจได้รับข้อมูลรับรองการเข้าสู่ระบบของคุณมัลแวร์ที่น่ารังเกียจชิ้นหนึ่งสามารถทำสิ่งเดียวกันและส่งข้อมูลกลับบ้านได้ เราไม่พบแอปอินสแตนซ์ใด ๆ ในลักษณะนี้ แต่ควรระวังแอพพลิเคชั่นที่คุณติดตั้ง (เช่นเคย) และอ่านสิทธิ์การใช้งานแอปเหล่านั้น!
แม้ว่านี่จะไม่ใช่ข้อกังวลสำหรับผู้ใช้ส่วนใหญ่ แต่ก็ควรจะเข้ารหัสรายการเหล่านี้ในการสร้าง Android ในอนาคต ปรากฎว่ามีคนคิดอย่างนั้นและมีรายการที่หน้าปัญหา Android ของ Google ซึ่งผู้มีส่วนได้เสียสามารถติดดาวเพื่อรับทราบข้อมูลเกี่ยวกับเรื่องนี้รวมถึงชนรายการ
แน่นอนว่าเราไม่ต้องการทำให้สัดส่วนนี้หมดไป แต่ความรู้คือพลังในสถานการณ์เช่นนี้ หากคุณรูทโทรศัพท์ Android รุ่นใหม่ให้ใช้ความระมัดระวังเป็นพิเศษเพื่อความปลอดภัย
