Ако се чудите дали да root-нете своето Android устройство, може да обмислите и следния проблем, който може да се появи. Изглежда, че след като е root-нат телефона, паролите се записват в системата като обикновен текстов файл, който е достъпен за всеки, който знае къде да гледа.
Ако Android телефонът не е root-нат, приложенията нямат възможност да използват данните на други приложения. След като се root-не устройството или се даде root достъп на приложенията, този проблем се решава. Но тогава паролите могат да бъдат видяни с помощта на приложение, даващо достъп до файловата система. Но не това е големият проблем, а възможността някой да напише приложение, което да вземе тези данни от телефона и да ги изпрати на човекът, написал приложението. Защо Google са оставили такава дупка в сигурността? Първо, те не смятат, че телефонът трябва да се root-не. Android е отворена операционна система и потребителите могат да правят каквото искат с нея. Но от Google не смятат, че трябва да полагат усилия да спасят хората, които са решили, че трябва да дадат root достъп на приложенията си до телефона.
Ето какво казва Kevin McHaffey, съосновател и CTO на Lookout:
„Файлът accounts.db се записва от системна услуга на Android, за да управлява централизирано данните за потребителя (като имена и пароли). По подразбиране, базата с потребителските данни трябва да направи файла достъпен (за четене и запис) само за системния потребител. Други приложения не би трябвало да имат директен достъп до файла. По подразбиране, паролите и останалите данни за установяване самоличността на потребителя, могат да се записват в обикновен текстов файл, защото файлът е защитен от строги правила за достъп до него. Освен това някои услуги (като Gmail) записват данни за идентификация вместо пароли, като по този начин се намалява риска потребителските пароли да бъдат изложени на риск.
Би било много опасно за приложения от други разработчици да могат да четат този файл, за това е много важно да бъдете внимателни, когато инсталирате приложения, които изискват root достъп. Мисля, че е важно за всички потребители, които root-ват своя телефон, да знаят, че приложенията, които имат root достъп, на практика имат пълен достъп до телефона, включително до информацията за потребителя. Ако базата данни с информация за потребителя трябваше да бъде достъпна за потребители, различни от системния потребител, това би довело до голяма уязвимост в сигурността.”
Всичко това означава, че всеки потребител трябва много да внимава, когато инсталира приложение, които иска root достъп до телефона. Напълно възможно е някой разработчик да направи приложение, което освен очевидните неща, да събира информация за потребителя (като потребителско име и парола) и да я изпраща до човека, разработил приложението.
Източник: http://www.intomobile.com
“””
