週末をプールサイドや幼児の誕生日パーティーで過ごす人もいれば、座ってハックする人もいます。 この場合、Cory(Android Central Forumsの管理者)が十分な注意を払う必要があるものを見つけたので、うれしいです。多くの場合、パスワードは内部データベースにプレーンテキストとして保存されています。 土曜日のかなりの部分で問題を追跡し、Googleのコードバグページを精査し、さまざまなROMを実行しているさまざまな携帯電話をテストし、明確化のためにプロに電話をかけました。 見つかったもの、および電話をルート化した場合に注意する必要があるものを確認するには、休憩を押します。 そして、Coryの大きな道具です!
明確にするために、これはrootユーザーにのみ影響します。 また、ルート化されたOSを携帯電話で実行することに伴う追加の責任を強調する大きな理由でもあります。 あなたが根ざしていない場合、この特定の問題はあなたには影響しませんが、根づかないことが正しい選択であるということを心を安らかにするためだけであるなら、それはまだ読む価値があります。
少し時間を取って、すべての調査結果を読んでください。Coryがここで非常にうまくリストしています。 要約すると、在庫のFroyo(Android 2.2)電子メールクライアントを含む特定のアプリケーションは、ユーザー名とパスワードをプレーンテキストとして携帯電話の内部アカウントデータベースに保存します。 これには、POPおよびIMAPメールアカウントとExchangeアカウントが含まれます(ドメインログイン情報でもある場合、より大きな問題を引き起こす可能性があります)。 今、空が落ちると言う前に、お使いの携帯電話が根ざしていない場合、アプリケーションはこれを読むことができません。 Lookoutの共同設立者兼CTOであるKevin McHaffeyにこれを確認しました。彼は週末であっても、モバイルセキュリティが関係する場合に常に手を貸す用意ができています。 状況に対する彼の見解は次のとおりです。
「accounts.dbファイルは、Androidシステムサービスによって保存され、アプリケーションのアカウント資格情報(ユーザー名とパスワードなど)を一元管理します。デフォルトでは、アカウントデータベースのアクセス許可により、ファイルへのアクセスのみ(読み取りと書き込み)サードパーティのアプリケーションがファイルに直接アクセスできないようにする必要があります。ファイルまたはアクセス許可によって保護されているため、パスワードまたは認証トークンはプレーンテキストで保存できます。サービスがサポートする場合、パスワードの代わりに認証トークンを使用して、ユーザーのパスワードが危険にさらされるリスクを最小限に抑えます。
サードパーティのアプリケーションがこのファイルを読み取ることは非常に危険です。そのため、ルートアクセスを必要とするアプリケーションをインストールする際には注意することが非常に重要です。 スマートフォンをルート化するすべてのユーザーにとって、ルートとして実行されているアプリには、アカウント情報を含め、スマートフォンへの*フル*アクセス権があることを理解することが重要だと思います。
アカウントデータベースが非システムユーザー(たとえば、ファイルのユーザーまたはグループの所有権が「システム」またはファイルに対する全世界の読み取り特権)にアクセスできる場合、大きなセキュリティの脆弱性になります。
これを簡単に言えば、Androidは、関連付けられていないデータベースをアプリが読み取れないように設定されています。 ただし、アプリケーションをルートとして実行するためのツールを提供すると、これらすべての変更が行われます。 電話機に物理的にアクセスできる人がこれらのファイルを見て、ログイン資格情報を取得できる可能性があるだけでなく、同じことを実行してデータを自宅に送信する非常に厄介なマルウェアが作成される可能性があります。 野生ではこのようなアプリのインスタンスは見つかりませんでしたが、インストールするアプリケーションに(いつものように)非常に注意し、それらのアプリケーションのアクセス許可を読んでください!
これは大多数のユーザーにとって懸念事項ではありませんが、今後のAndroidビルドではこれらのエントリを暗号化することが望ましいでしょう。 結局、他の誰かがそう考えており、GoogleのAndroidの問題ページにエントリがあります。興味のある人は、それについて情報を入手し、リストに追加することができます。
確かにこれを不均衡に吹き飛ばしたくはありませんが、このような状況では知識が力になります。 その輝かしい新しいAndroidスマートフォンを根付かせた場合は、安全を確保するためにいくつかの追加の予防策を講じてください。
![Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]](https://img.androidermagazine.com/img/podcast/292/google-exposes-pixel-4-features.jpg "Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]"){kind=tracking}
