В Android-смартфонах пароли хранятся «открытым текстом» - будьте бдительны
Желающим забраться в корневой каталог Android-смартфона следует подумать несколько раз. После получения root-доступа пароли сохраняются в системных файлах открытым текстом, и тот, кто знает, где искать, может легко этим воспользоваться.
В обычных Android-смартфонах приложения не имеют доступа к базам данных других приложений. Предоставление доступа приложениям к корневому каталогу может изменить это правило. В подобном смартфоне отыскать пароли можно будет с помощью менеджера файлов, но потенциальная опасность состоит в том, что злоумышленники могут создать и внедрить в ваш девайc программу, автоматически собирающую пароли и отсылающую их заказчику.
Почему же Google не кодирует эту информацию? Да просто потому, что не хочет, чтобы в корневой каталог лезли все, кому не лень.
Kevin McHaffey, один из основателей компании Lookout, так комментирует ситуацию:
"Файл accounts.db хранится в одном из системных сервисов Android и централизовано управляет данными аккаунтов (именами пользователя и паролями) для приложений. По умолчанию, этот файл доступен для чтения и записи только пользователю системы. Никакие сторонние приложения не имеют прямого доступа к файлу. Такие ограничения в доступе к файлу и являются причиной, почему пароли и другая идентификационная информация здесь хранятся в виде открытого текста.
Поэтому крайне опасно предоставлять доступ к этому файлу сторонним приложениям – будьте очень внимательны, когда инсталлируемое приложение потребует «root access». В противном случае, ваш смартфон станет достаточно уязвимым для злоумышленников".
© Варвара Бутковская, MForum.ru, по материалам intomobile.com
Источник: Мобильный форум
blog comments powered by Disqus
