Enquanto alguns podem passar seus fins de semana descansando à beira da piscina ou em festas de aniversário de crianças, alguns se sentam e se divertem. Estamos felizes neste caso, pois Cory (nosso administrador dos Fóruns da Central Android) encontrou algo que um bom número de nós precisa ter cuidado - em muitos casos, suas senhas são armazenadas como texto sem formatação nos bancos de dados internos. Passamos boa parte do nosso sábado rastreando os problemas, vasculhando as páginas de bugs de código do Google, testando vários telefones executando várias ROMs e até chamando os profissionais para esclarecimentos. Entre no intervalo para ver o que foi encontrado e o que você pode precisar se você torcer o telefone. E grandes adereços para Cory!
Para ser claro, isso afeta apenas usuários rooteados. Essa também é uma excelente razão pela qual enfatizamos as responsabilidades extras que acompanham a execução de um sistema operacional raiz no seu telefone. Se você não tiver rooteado, esse problema em particular não afetará você, mas ainda vale a pena ler, apenas para tranquilizar sua mente de que não fazer o root era a escolha certa.
Reserve um momento e leia todas as nossas descobertas, que Cory listou bastante bem aqui. Resumirei: certos aplicativos, incluindo o cliente de e-mail Froyo (Android 2.2), armazenam seu nome de usuário e senha como texto sem formatação no banco de dados de contas internas do telefone. Isso inclui contas de correio POP e IMAP, bem como contas do Exchange (o que pode representar um problema maior se também forem as informações de login do seu domínio). Agora, antes de dizermos que o céu está caindo, se o seu telefone não estiver enraizado, nenhum aplicativo poderá ler isso. Até confirmamos isso com Kevin McHaffey, co-fundador e CTO da Lookout - que está sempre pronto para ajudar no que diz respeito à segurança móvel, mesmo no fim de semana. Aqui está sua opinião sobre a situação:
"O arquivo accounts.db é armazenado por um serviço do sistema Android para gerenciar centralmente as credenciais da conta (por exemplo, nomes de usuário e senhas) para aplicativos. Por padrão, as permissões no banco de dados de contas devem tornar o arquivo acessível apenas (por exemplo, leitura + gravação) para o usuário do sistema. Nenhum aplicativo de terceiros deve poder acessar diretamente o arquivo. Meu entendimento é que senhas ou tokens de autenticação podem ser armazenados em texto sem formatação porque o arquivo está protegido por permissões estritas. Além disso, alguns serviços (por exemplo, o Gmail) armazenam tokens de autenticação em vez de senhas, se o serviço os suportar, minimizando o risco de a senha de um usuário ser comprometida.
Seria muito perigoso para aplicativos de terceiros poderem ler esse arquivo, e é por isso que é muito importante ter cuidado ao instalar aplicativos que requerem acesso root. Acho importante que todos os usuários que fazem root nos seus telefones entendam que os aplicativos executados como root têm acesso * completo * ao seu telefone, incluindo as informações da sua conta.
Se o banco de dados de contas fosse acessível a usuários que não são do sistema (por exemplo, propriedade do usuário ou grupo do arquivo, além de privilégios de “sistema” ou de leitura mundial no arquivo), seria uma grande vulnerabilidade de segurança ".
Para simplificar, o Android é configurado para que os aplicativos não possam ler bancos de dados aos quais não estão associados. Mas uma vez que você fornece as ferramentas para os aplicativos executarem como raiz, tudo isso muda. Não apenas alguém com acesso físico ao seu telefone pode olhar para esses arquivos e possivelmente obter suas credenciais de login, mas também um malware muito desagradável que faz a mesma coisa e envia os dados de volta para casa. Não encontramos nenhuma instância de aplicativos como esse na natureza, mas tenha muito cuidado (como sempre) com os aplicativos que você instala e leia essas permissões!
Embora isso não seja motivo de preocupação para a grande maioria dos usuários, seria preferível criptografar essas entradas em versões futuras do Android. Acontece que alguém pensa assim, e há uma entrada nas páginas de problemas do Google para Android, nas quais as partes interessadas podem estrelar para se manterem informadas sobre ela, além de aumentar a lista.
Certamente não queremos exagerar na proporção, mas conhecimento é poder em situações como essa. Se você enraizou esse novo telefone Android brilhante, tome algumas precauções extras para se manter seguro.
