Logo ar.androidermagazine.com
Logo ar.androidermagazine.com

نشرة الأمن للمستخدمين الجذور: يتم تخزين كلمات مرور Android كنص واضح

Anonim

في حين أن البعض قد يقضون عطلات نهاية الأسبوع في التسكع بجانب حمام السباحة أو في حفلات أعياد الميلاد للأطفال الصغار ، يجلس البعض ويختلسون. نحن سعداء في هذه الحالة ، لأن Cory (مسؤول منتديات Android المركزية) وجد شيئًا يحتاج عدد كبير منا إلى توخي الحذر - في كثير من الحالات ، يتم تخزين كلمات مرورك كنص عادي في قواعد البيانات الداخلية. لقد أمضينا جزءًا كبيرًا من السبت لدينا في تتبع المشكلات ، وتجوب صفحات أخطاء برمجية Google ، واختبار مختلف الهواتف التي تعمل على مدمجة مختلفة ، بل وحتى استدعاء المحترفين للتوضيح. اضغط على الفاصل لمعرفة ما تم العثور عليه ، وما قد تحتاج إلى مشاهدته إذا قمت بتجذير هاتفك. والدعائم الكبيرة لكوري!

لكي تكون واضحًا ، يؤثر هذا فقط على المستخدمين ذوي الجذور. يعد هذا أيضًا سببًا كبيرًا للتشديد على المسؤوليات الإضافية التي تأتي مع تشغيل نظام تشغيل جذر على هاتفك. إذا لم تقم بالتجذر ، فلن تؤثر عليك هذه المشكلة ، ولكن لا يزال من المفيد أن تقرأ فقط إذا لم يكن تجذيرك هو الخيار الصحيح.

خذ لحظة وقراءة جميع النتائج التي توصلنا إليها ، والتي أدرجها كوري بشكل جيد للغاية هنا. سألخص: بعض التطبيقات ، بما في ذلك عميل البريد الإلكتروني Froyo (Android 2.2) ، قم بتخزين اسم المستخدم وكلمة المرور كنص عادي في قاعدة بيانات الحسابات الداخلية للهاتف. يتضمن هذا حسابات بريد POP و IMAP ، بالإضافة إلى حسابات Exchange (والتي قد تشكل مشكلة أكبر إذا كانت أيضًا معلومات تسجيل دخول المجال الخاص بك). الآن قبل أن نقول إن السماء تتساقط ، إذا لم يكن هاتفك متجذرًا ، فلن يتمكن أي تطبيق من قراءة هذا. لقد أكدنا هذا الأمر أيضًا مع Kevin McHaffey ، الشريك المؤسس و CTO لـ Lookout - الذي يكون دائمًا على استعداد لتقديم يد المساعدة بشأن أمان الأجهزة المحمولة ، حتى في عطلة نهاية الأسبوع. إليك مقالته عن الموقف:

"يتم تخزين ملف accounts.db بواسطة خدمة نظام أندرويد لإدارة بيانات اعتماد الحساب مركزيًا (مثل أسماء المستخدمين وكلمات المرور) للتطبيقات. افتراضيًا ، يجب أن تجعل أذونات قاعدة بيانات الحسابات الملف متاحًا فقط (أي قراءة + كتابة) إلى مستخدم النظام: يجب ألا تكون هناك تطبيقات تابعة لجهة خارجية قادرة على الوصول مباشرة إلى الملف ، حسب فهمي ، يُسمح بتخزين كلمات المرور أو رموز المصادقة في نص عادي لأن الملف محمي بموجب أذونات صارمة ، كما تخزن بعض الخدمات (مثل Gmail) الرموز المميزة للمصادقة بدلاً من كلمات المرور إذا كانت الخدمة تدعمها ، مما يقلل من خطر تعرض كلمة مرور المستخدم للخطر.

سيكون من الخطير جدًا أن تكون تطبيقات الطرف الثالث قادرة على قراءة هذا الملف ، ولهذا السبب من المهم جدًا توخي الحذر عند تثبيت التطبيقات التي تتطلب الوصول إلى الجذر. أعتقد أنه من المهم لجميع المستخدمين الذين يقومون بجذر هواتفهم أن يفهموا أن التطبيقات التي تعمل كجذر لها * وصول كامل * إلى هاتفك ، بما في ذلك معلومات حسابك.

إذا كانت قاعدة بيانات الحسابات في متناول المستخدمين من خارج النظام (مثل ملكية المستخدم أو المجموعة للملف ، شيء ما بخلاف "النظام" أو امتيازات قراءة العالم في الملف) فسيكون ذلك ثغرة أمنية كبيرة."

لوضع ذلك بعبارات أبسط ، يتم إعداد Android بحيث لا تتمكن التطبيقات من قراءة قواعد البيانات التي لا ترتبط بها. ولكن بمجرد توفير الأدوات للتطبيقات لتشغيلها كجذر ، كل هذه التغييرات. لا يمكن لشخص لديه حق الوصول الفعلي إلى هاتفك الاطلاع على هذه الملفات وربما الحصول على بيانات اعتماد تسجيل الدخول الخاصة بك ، بل يمكن إنشاء قطعة سيئة للغاية من البرامج الضارة تقوم بنفس الشيء وترسل البيانات إلى الوطن. لم نعثر على أي مثيلات لتطبيقات مثل هذه في البرية ، ولكن كن حذراً للغاية (كما هو الحال دائمًا) من التطبيقات التي تقوم بتثبيتها ، وقراءة أذونات التطبيق هذه!

على الرغم من أن هذا ليس مصدر قلق بالنسبة للغالبية العظمى من المستخدمين ، فمن الأفضل تشفير هذه الإدخالات في تصميمات Android المستقبلية. تبين أن هناك شخصًا آخر يعتقد ذلك ، وهناك إدخال في صفحات إصدارات Android من Google ، والتي يمكن للأطراف المهتمة أن تبقي على علم بها وكذلك تضيفها إلى القائمة.

من المؤكد أننا لا نريد أن نفجر هذا بشكل غير متناسب ، لكن المعرفة قوة في مواقف مثل هذه. إذا قمت بتجذير ذلك هاتف Android الجديد اللامع ، فعليك اتخاذ بعض الاحتياطات الإضافية للحفاظ على أمانك.