주말에 풀장이나 유아 생일 파티에서 주말을 보낼 수도 있지만 앉거나 해킹하는 사람도 있습니다. Cory (Android Central Forums 관리자)는 많은 수의 사용자가주의해야 할 사항을 발견 했으므로이 경우에 기쁩니다. 대부분의 경우 비밀번호는 내부 데이터베이스에 일반 텍스트로 저장됩니다. 우리는 토요일에 문제를 추적하고, Google의 코드 버그 페이지를 조사하고, 다양한 ROM을 실행하는 다양한 전화를 테스트하고, 명확성을 위해 전문가를 부르기도했습니다. 발견 된 내용과 휴대 전화를 근절 한 경우주의해야 할 내용을 보려면 휴식을 취하십시오. 그리고 코리에게 큰 소품!
분명히, 이것은 루팅 된 사용자에게만 영향을줍니다. 또한 휴대 전화에서 루팅 된 OS를 실행하는 데 따른 추가 책임을 강조해야하는 큰 이유이기도합니다. 뿌리를 내리지 않은 경우이 특정 문제는 당신에게 영향을 미치지 않지만 뿌리를 내리지 않는 것이 올바른 선택이라는 마음을 편안하게하는 경우에만 읽을 가치가 있습니다.
잠시 시간을내어 Cory가 여기에 아주 훌륭하게 나열한 모든 결과를 읽으십시오. 요약하자면, 스톡 Froyo (Android 2.2) 이메일 클라이언트를 포함한 특정 응용 프로그램은 사용자 이름과 비밀번호를 일반 텍스트로 전화의 내부 계정 데이터베이스에 저장합니다. 여기에는 POP 및 IMAP 메일 계정과 Exchange 계정이 포함됩니다 (도메인 로그인 정보 인 경우 더 큰 문제가 발생할 수 있음). 우리는 하늘이 떨어지고 있다고 말하기 전에 휴대 전화가 루팅되지 않으면 응용 프로그램에서이를 읽을 수 없습니다. 심지어 주말에도 모바일 보안이 필요한 곳을 항상 빌려줄 수있는 Lookout의 공동 창립자이자 CTO 인 Kevin McHaffey와 함께이를 확인했습니다. 그의 상황은 다음과 같습니다.
"accounts.db 파일은 안드로이드 시스템 서비스에 의해 저장되어 응용 프로그램의 계정 자격 증명 (예: 사용자 이름 및 비밀번호)을 중앙에서 관리합니다. 기본적으로 계정 데이터베이스에 대한 권한은 해당 파일에 액세스 할 수있는 파일 (예: 읽기 + 쓰기) 만 만들어야합니다. 파일을 엄격한 권한으로 보호하기 때문에 비밀번호 나 인증 토큰을 일반 텍스트로 저장할 수 있다는 것을 이해합니다. 또한 일부 서비스 (예: Gmail) 저장소 서비스가 지원하는 경우 암호 대신 인증 토큰을 사용하여 사용자 암호가 손상 될 위험을 최소화합니다.
타사 응용 프로그램이이 파일을 읽을 수있는 것은 매우 위험하므로 루트 액세스가 필요한 응용 프로그램을 설치할 때주의해야합니다. 전화를 루팅하는 모든 사용자가 루트로 실행되는 앱이 계정 정보를 포함하여 * 풀 * 액세스 할 수 있음을 이해하는 것이 중요하다고 생각합니다.
비 시스템 사용자가 계정 데이터베이스에 액세스 할 수있는 경우 (예: "시스템"이외의 파일에 대한 사용자 또는 그룹 소유권 또는 파일에 대한 세계 읽기 권한) 큰 보안 취약점이됩니다."
간단히 말하면, 앱은 관련되지 않은 데이터베이스를 앱이 읽을 수 없도록 Android가 설정됩니다. 그러나 일단 응용 프로그램이 루트로 실행될 도구를 제공하면이 모든 변경 사항이 적용됩니다. 휴대 전화에 물리적으로 액세스 할 수있는 사람이 이러한 파일을보고 로그인 자격 증명을 얻을 수있을뿐만 아니라 동일한 작업을 수행하고 데이터를 집으로 보내는 매우 악의적 인 맬웨어를 만들 수 있습니다. 우리는 이와 같은 응용 프로그램을 전혀 찾지 못했지만 설치하는 응용 프로그램에 대해 항상주의를 기울여야하며 해당 응용 프로그램 권한을 읽으십시오!
대다수의 사용자에게는 이것이 문제가되지 않지만, 향후 Android 빌드에서 이러한 항목을 암호화하는 것이 좋습니다. 다른 사람이 그렇게 생각하는 것으로 밝혀졌으며 Google의 Android 이슈 페이지에 관심있는 당사자가 정보를 유지하고 목록을 올릴 수있는 별표를 표시 할 수 있습니다.
우리는 확실히 이것을 비례 적으로 날려 버리고 싶지 않지만 이런 상황에서는 지식이 힘입니다. 반짝이는 새 Android 휴대 전화를 근절 한 경우 안전을 위해 몇 가지 추가 예방 조치를 취하십시오.
