Logo fr.androidermagazine.com
Logo fr.androidermagazine.com

Bulletin de sécurité pour les utilisateurs enracinés: mots de passe android stockés en texte clair

Anonim

Pendant que certains passent leurs week-ends à se prélasser au bord de la piscine ou lors des fêtes d'anniversaire des tout-petits, certains s'assoient et bidouillent. Nous sommes heureux dans ce cas, car Cory (notre administrateur des forums centraux Android) a découvert un problème auquel bon nombre d'entre nous devons faire attention - dans de nombreux cas, vos mots de passe sont stockés sous forme de texte brut dans des bases de données internes. Nous avons passé une bonne partie de notre samedi à rechercher les problèmes, à parcourir les pages de bogues de code de Google, à tester différents téléphones exécutant différentes ROM et à faire appel à des professionnels pour obtenir des éclaircissements. Appuyez sur la pause pour voir ce qui a été trouvé et ce que vous pourriez avoir besoin de surveiller si vous avez enraciné votre téléphone. Et gros accessoires à Cory!

Pour être clair, cela ne concerne que les utilisateurs enracinés. C'est également une bonne raison pour laquelle nous insistons sur les responsabilités supplémentaires liées à l'exécution d'un système d'exploitation enraciné sur votre téléphone. Si vous n'êtes pas enraciné, ce problème particulier ne vous concernera pas, mais sa lecture vaut la peine d'être consultée, ne serait-ce que pour vous rassurer que ne pas enraciner était le bon choix.

Prenez un moment pour lire toutes nos conclusions, que Cory a assez bien énumérées ici. Je vais résumer: certaines applications, y compris le client de messagerie Froyo (Android 2.2), stockent votre nom d'utilisateur et votre mot de passe sous forme de texte brut dans la base de données des comptes internes du téléphone. Cela inclut les comptes de messagerie POP et IMAP, ainsi que les comptes Exchange (ce qui pourrait poser un problème plus grave s'il s'agit également de vos informations de connexion au domaine). Maintenant, avant de dire que le ciel tombe, si votre téléphone n'est pas enraciné, aucune application n'est capable de lire ceci. Nous avons même confirmé cela avec Kevin McHaffey, cofondateur et directeur de la technologie de Lookout, toujours prêt à donner un coup de main en matière de sécurité mobile, même le week-end. Voici son point de vue sur la situation:

"Le fichier accounts.db est stocké par un service système Android afin de gérer de manière centralisée les informations d’identification du compte (noms d'utilisateur et mots de passe, par exemple) pour les applications. Par défaut, les autorisations sur la base de données des comptes doivent rendre le fichier uniquement accessible (c'est-à-dire lecture et écriture). utilisateur système. Aucune application tierce ne devrait pouvoir accéder directement au fichier. Je comprends que les mots de passe ou les jetons d’authentification peuvent être stockés en texte brut car le fichier est protégé par des autorisations strictes. En outre, certains services (Gmail, par exemple) jetons d'authentification au lieu de mots de passe si le service les prend en charge, ce qui réduit le risque de compromission du mot de passe d'un utilisateur.

Il serait très dangereux pour les applications tierces de pouvoir lire ce fichier. C'est pourquoi il est très important d'être prudent lors de l'installation d'applications nécessitant un accès root. Je pense qu'il est important que tous les utilisateurs qui rootent leur téléphone comprennent que les applications qui s'exécutent en tant que root ont un accès * complet * à votre téléphone, y compris aux informations de votre compte.

Si la base de données des comptes devait être accessible à des utilisateurs autres que des utilisateurs système (par exemple, la propriété du fichier par un utilisateur ou un groupe, quelque chose d'autre que des privilèges de «lecture système» ou «monde» sur le fichier), ce serait une grande vulnérabilité de sécurité."

En termes simples, Android est configuré pour que les applications ne puissent pas lire les bases de données auxquelles elles ne sont pas associées. Mais une fois que vous avez fourni les outils permettant aux applications de s'exécuter en tant que root, tout cela a changé. Une personne ayant un accès physique à votre téléphone peut consulter ces fichiers et éventuellement obtenir vos identifiants de connexion, vous pouvez créer un programme malveillant très malveillant qui fait la même chose et envoie les données à la maison. Nous n'avons trouvé aucune instance d'applications de ce type dans la nature, mais soyez très prudent (comme toujours) avec les applications que vous installez et lisez ces autorisations!

Bien que cela ne soit pas une préoccupation pour la grande majorité des utilisateurs, il serait préférable de chiffrer ces entrées dans les versions futures d'Android. Il se trouve que quelqu'un d'autre le pense, et il y a une entrée dans les pages des problèmes Android de Google, que les parties intéressées peuvent suivre pour rester informés à ce sujet et la faire remonter dans la liste.

Nous ne voulons certainement pas exagérer cela, mais la connaissance est un pouvoir dans des situations comme celle-ci. Si vous avez enraciné ce nouveau téléphone Android brillant, prenez quelques précautions supplémentaires pour rester en sécurité.