Τρίτη, 21 Σεπτεμβρίου 2010

Θέμα ασφάλειας για τους root χρήστες


Ένας admin στο androidcentral ανακάλυψε ένα πολύ σοβαρό θέμα ασφάλειας που τουλάχιστον επηρεάζει μόνο όσους χρήστες έχουν κάνει root και τρέχουν εφαρμογές που απαιτούν root access στο τηλέφωνο.

Συνοπτικά... σε πολλές περιπτώσεις οι κωδικοί μας αποθηκεύονται σαν απλό κείμενο στην συσκευή και όχι κρυπτογραφημένα, π.χ. στο αρχείο accounts.db, με αποτέλεσμα μια εφαρμογή που τρέχει με δικαιώματα root να έχει τη δυνατότητα να υποκλέψει τους κωδικούς μας. Βέβαια μια απλή εφαρμογή δεν έχει τη δυνατότητα να διαβάσει αυτό το αρχείο οπότε δεν υπάρχει λόγος πανικού.

Όσοι λοιπόν τρέχετε εφαρμογές που χρειάζονται root να το κάνετε με τη δέουσα προσοχή στο πόσο αξιόπιστες είναι. Οπότε την επόμενη φορά που θα εμφανιστεί η ερώτηση για το αν θέλουμε να επιτρέψουμε σε μια εφαρμογή να τρέξει με δικαιώματα root καλό είναι να σιγουρευτούμε πρώτα ότι δεν το κάνει με "κακό" σκοπό.

Το θετικό είναι ότι είναι πιθανή η κρυπτογράφηση σε μελλοντικές εκδόσεις του λειτουργικού.

[via]