Bazıları hafta sonlarını havuz başında uzanarak ya da yürümeye başlayan doğum günü partilerinde geçirebilir, bazıları oturmak ve kesmekle geçebilir. Bu durumda mutluyuz, çünkü Cory (Android Merkez Forumları yöneticimiz) çok fazla dikkatli olmamız gereken bir şey bulduğu için - çoğu durumda şifreleriniz iç veritabanlarında düz metin olarak saklanır. Cumartesi günümüzün önemli bir bölümünü sorunları takip etmek, Google’ın kod hata sayfalarını taramak, çeşitli ROM’larda çalışan çeşitli telefonları test etmek ve hatta profesyonelleri açıklama için çağırmak için harcadık. Neyin bulunduğunu ve telefonunuzu köklendirdiyseniz, neye dikkat etmeniz gerekebileceğini görmek için ara verin. Ve Cory'ye büyük eşyalar!
Açık olmak gerekirse, bu yalnızca köklü kullanıcıları etkiler. Ayrıca, telefonunuzda köklü bir işletim sistemi çalıştırmanın getirdiği ekstra sorumlulukları vurgulamamızın harika bir nedenidir. Köklenmediyseniz, bu belirli sorun sizi etkilemeyecek, ancak aklınızı rahatlatmanın doğru seçim olmadığı fikrini rahatlatmak için hala okumaya değer.
Bir dakikanızı ayırın ve Cory'nin burada güzelce listelediği tüm bulgularımızı okuyun. Özetle: Hisse senedi Froyo (Android 2.2) e-posta istemcisi de dahil olmak üzere bazı uygulamalar telefonun dahili hesap veritabanında kullanıcı adınızı ve şifrenizi düz metin olarak saklar. Bu, POP ve IMAP posta hesaplarının yanı sıra Exchange hesaplarını da içerir (bu, aynı zamanda etki alanı giriş bilgileriniz ise daha büyük bir sorun teşkil edebilir). Şimdi gökyüzü düşüyor demeden önce, telefonunuz köklü değilse, hiçbir uygulama bunu okuyamaz. Bunu, Lookout'un Kurucu Ortağı ve CTO'su Kevin McHaffey ile bile doğruladık - hafta sonları bile, mobil güvenliğin söz konusu olduğu durumlarda yardım etmeye her zaman hazır. İşte durum onun almak:
"Users.db dosyası, uygulamalar için hesap kimlik bilgilerini (örn. Kullanıcı adları ve şifreler) merkezi olarak yönetmek için bir android sistem hizmeti tarafından depolanır. Varsayılan olarak, hesap veritabanındaki izinler dosyayı yalnızca erişilebilir (örneğin, okuma + yazma) yapmalıdır. üçüncü taraf uygulamaların doğrudan dosyaya erişememesi gerekir. Anladığım kadarıyla, şifreler veya kimlik doğrulama simgelerinin düz metin olarak saklanmasına izin veriliyor, çünkü dosya katı izinlerle korunuyor. Servis destekliyorsa, şifreler yerine kimlik doğrulama jetonları belirleyerek bir kullanıcının şifresinin bozulma riskini en aza indirir.
Üçüncü taraf uygulamaların bu dosyayı okuyabilmesi çok tehlikelidir, bu nedenle root erişimi gerektiren uygulamaları kurarken dikkatli olmak çok önemlidir. Telefonlarını root olarak kullanan tüm kullanıcıların, root olarak çalışan uygulamaların, hesap bilgileriniz de dahil olmak üzere telefonunuza * tam * erişimi olduğunu anlamaları önemlidir.
Hesap veritabanının sistem dışı kullanıcılar tarafından erişilebilir olması gerekiyorsa (örneğin, dosyanın kullanıcı veya grup sahibi olması “sistem” veya dünyadaki dosyadan dünyayı okumak gibi ayrıcalıklar) büyük bir güvenlik açığı olacaktır. ”
Daha basit bir ifadeyle, Android, uygulamaların ilişkilendirilmediği veritabanlarını okuyamaması için kurulur. Ancak uygulamaların root olarak çalışması için araçlar sağladığınızda, tüm bunlar değişir. Telefonunuza fiziksel erişimi olan bir kişi bu dosyalara bakmaktan ve muhtemelen giriş bilgilerinizi elde etmekle kalmaz, aynı şeyi yapan ve verileri eve geri gönderen çok kötü bir kötü amaçlı yazılım olabilir. Bu tür uygulamaların örneklerini vahşi ortamda bulamadık, ancak yüklediğiniz uygulamalara (her zaman olduğu gibi) çok dikkat edin ve bu uygulama izinlerini okuyun!
Bu, kullanıcıların büyük çoğunluğu için bir endişe olmasa da, gelecek Android sürümlerinde bu girişleri şifrelemek tercih edilir. Anlaşılan, bir başkası öyle düşünüyor ve Google’ın Android yayın sayfalarında, ilgili tarafların bu konuda bilgilendirilmeleri ve listeye girmelerine neden olabileceği bir giriş var.
Bunu kesinlikle orantısızlaştırmak istemiyoruz ama bunun gibi durumlarda bilgi güçtür. Bu yeni parlak Android telefona dayandıysanız, güvende kalmak için birkaç ekstra önlem alın.
