Logo es.androidermagazine.com
Logo es.androidermagazine.com

Boletín de seguridad para usuarios rooteados: contraseñas de Android almacenadas como texto sin cifrar

Anonim

Mientras que algunos pueden pasar sus fines de semana descansando junto a la piscina o en fiestas de cumpleaños para niños pequeños, algunos se sientan y piratean. Estamos contentos en este caso, ya que Cory (nuestro administrador de foros centrales de Android) encontró algo que muchos de nosotros debemos tener cuidado: en muchos casos, sus contraseñas se almacenan como texto sin formato en bases de datos internas. Pasamos una buena parte de nuestro sábado rastreando los problemas, rastreando las páginas de errores de código de Google, probando varios teléfonos con varias ROM e incluso llamando a los profesionales para obtener aclaraciones. Aproveche el descanso para ver lo que se encontró y lo que puede necesitar vigilar si ha rooteado su teléfono. ¡Y grandes accesorios para Cory!

Para ser claros, esto solo afecta a los usuarios rooteados. También es una gran razón por la que enfatizamos las responsabilidades adicionales que conlleva ejecutar un sistema operativo rooteado en su teléfono. Si no has rooteado, este problema en particular no te afectará, pero aún así vale la pena leerlo solo para tranquilizarte de que no rootear fue la elección correcta.

Tómese un momento y lea todos nuestros hallazgos, que Cory ha enumerado muy bien aquí. Resumiré: Ciertas aplicaciones, incluido el cliente de correo electrónico Froyo (Android 2.2), almacenan su nombre de usuario y contraseña como texto sin formato en la base de datos de cuentas internas del teléfono. Esto incluye cuentas de correo POP e IMAP, así como cuentas de Exchange (lo que podría plantear un problema mayor si también es la información de inicio de sesión de su dominio). Ahora, antes de decir que el cielo se está cayendo, si su teléfono no está rooteado, ninguna aplicación podrá leerlo. Incluso confirmamos esto con Kevin McHaffey, cofundador y director de tecnología de Lookout, que siempre está dispuesto a echar una mano en lo que respecta a la seguridad móvil, incluso el fin de semana. Aquí está su opinión sobre la situación:

"El archivo cuentas.db es almacenado por un servicio del sistema Android para administrar de forma centralizada las credenciales de la cuenta (por ejemplo, nombres de usuario y contraseñas) para las aplicaciones. De manera predeterminada, los permisos en la base de datos de las cuentas deberían hacer que el archivo solo sea accesible (es decir, leer + escribir) usuario del sistema. Ninguna aplicación de terceros debería poder acceder directamente al archivo. Entiendo que las contraseñas o los tokens de autenticación se pueden almacenar en texto plano porque el archivo está protegido por permisos estrictos. Además, algunos servicios (por ejemplo, Gmail) almacenan tokens de autenticación en lugar de contraseñas si el servicio las admite, minimizando el riesgo de que la contraseña de un usuario se vea comprometida.

Sería muy peligroso que las aplicaciones de terceros puedan leer este archivo, por lo que es muy importante tener cuidado al instalar aplicaciones que requieren acceso de root. Creo que es importante que todos los usuarios que rootean sus teléfonos comprendan que las aplicaciones que se ejecutan como root tienen acceso * completo * a su teléfono, incluida la información de su cuenta.

Si la base de datos de cuentas fuera accesible para usuarios que no son del sistema (por ejemplo, la propiedad del archivo por parte del usuario o del grupo que no sea "sistema" o privilegios de lectura mundial en el archivo) sería una gran vulnerabilidad de seguridad ".

Para poner esto en términos más simples, Android está configurado para que las aplicaciones no puedan leer bases de datos con las que no están asociadas. Pero una vez que proporciona las herramientas para que las aplicaciones se ejecuten como root, todo esto cambia. Alguien con acceso físico a su teléfono no solo puede mirar estos archivos y posiblemente obtener sus credenciales de inicio de sesión, sino que también se puede crear una pieza muy desagradable de malware que hace lo mismo y envía los datos de vuelta a casa. No encontramos instancias de aplicaciones como esta en la naturaleza, pero tenga mucho cuidado (como siempre) de las aplicaciones que instale, ¡y lea esos permisos de aplicación!

Si bien esto no es una preocupación para la gran mayoría de los usuarios, sería preferible cifrar estas entradas en futuras versiones de Android. Resulta que alguien más lo cree, y hay una entrada en las páginas de problemas de Android de Google, que las partes interesadas pueden destacar para mantenerse informados al respecto y aumentar la lista.

Ciertamente no queremos volar esto fuera de proporción, pero el conocimiento es poder en situaciones como esta. Si ha rooteado ese nuevo y brillante teléfono Android, tome algunas precauciones adicionales para mantenerse seguro.