Menu

Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podobě

Jestliže používáte aplikaci S Poznámka (S Memo) a máte rootnutý telefon, počítejte s potenciálním narušením bezpečnosti vašeho hesla k účtu Google.

Vývojář, vystupující v diskuzním fóru XDA Developers pod přezdívkou graffixnyc, zjistil, že aplikace S Poznámka, která je součástí základní výbavy například Samsungu Galaxy S III, ukládá přihlašovací údaje k účtu Google do interní databáze jako prostý text bez jakéhokoli šifrování. K databázi, v níž je heslo uloženo, se ale dá dostat jedině s oprávněními roota – bez nich jsou tyto údaje pro uživatele i jiné programy nedostupné.

Aplikace S Poznámka

Aplikace S Poznámka

graffixnyc o svém objevu neprodleně informoval na XDA, kde z následné diskuze vyplynulo, že uživatelé, jež nemají rootnuté zařízení, se nemají čeho obávat. Protože ale poměrně značné procento majitelů Galaxy S III tento telefon rootuje, je počet reálně ohrožených značný. Podle dalšího vývojáře s nickem ViViDboarder je ale přístup k uvedeným informacím obtížný – buď by aplikace, jež by se chtěla k databázi dostat, musela zobrazit požadavek na schválení příslušných oprávnění, nebo ochranu obejít.

graffixnyc na chybu přišel při zkoumání databáze aplikace S Poznámka na svém Galaxy S III od operátora AT&T s oficiálním Jelly Beanem. Když otevřel tabulku v SQLite editoru, byl velmi nemile překvapen, když spatřil své uživatelské jméno a heslo v čitelné podobě, což také doložil snímkem obrazovky.

Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podobě

Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podobě

Pro ty, kdož by si chtěli uvedený problém vyzkoušet v praxi, doporučuje následující postup:

  1. Nastavte synchronizaci S Poznámky s účtem Google.
  2. Pomocí SQLite editoru přejděte do /data/data/com.sec.android.provider.smemo/databases.
  3. Otevřete soubor Pen_memo.db a vyberte tabulku CommonSettings. Zde byste měli vidět přihlašovací údaje k zadanému účtu Google uložené ve formátu prostého textu.

V každém případě jde o poměrně zásadní chybu, potvrzující skutečnost, že Android je sám o sobě bezpečným operačním systémem, nicméně jeho bezpečnost stojí a padá s aplikacemi třetích stran, včetně těch, jež do svých zařízení instalují výrobci a mobilní operátoři. Riziko pochopitelně roste s povyšování práv, ke kterému jsou často využívány známé bezpečnostní díry. Rootnutí zařízení vždy obnáší potenciální nebezpečí, zejména pokud je telefon v rukách nezkušeného uživatele. Fakt, že Samsung ukládá heslo v nešifrované podobě, je znepokojující, nicméně z části pochopitelný, pokud Samsung počítá s tím, že většina jeho zákazníků nebude telefon rootovat.

Kromě opatrnosti je jedním z možných řešení odinstalace nebo zmrazení aplikace S Poznámka, radikálnějším krokem je pak změna ROM. Samsung se k nalezenému problému zatím oficiálně nevyjádřil.

Zdroje: Android Community, Talk Android, XDA Developers, Droid Life, Droid Dog, Android Headlines.

 

Komentáře

xtom01

xtom01

13.11.2012 10:09

Divil bych se, kdyby to byla jediná taková aplikace.

Emil

Emil

13.11.2012 15:17

kdyz tam nekdo cpe sracky co nekdo udelal doma tak se nema cemu divit….

marcoama

marcoama

13.11.2012 20:40

S memo není to samé co S poznamka, ta je shodná s S note.
S memo je provázané s Google účtem, zatímco S poznamka-note nikoliv

Jenda

Jenda

14.11.2012 7:37

Jak byste si představovali správnou ochranu přihlašovacích údajů před rootem? Co by ta aplikace měla dělat, aby o ní nebyl takovýto článek?

Karelk

Karel Kiliánexternista 14

14.11.2012 8:02

To: Jenda
No, nevím. Co třeba… …šifrovat?

ic

ic

15.11.2012 18:46

S šifrováním to ale taky není moc jisté… pořád je tu ten problém, kam si ta aplikace uloží klíč/heslo , které při šifrování použila, aby bylo bezpečné? Jak ho zabezpečí? Tím to akorát nebude tolik na očích, když místo accountPW:heslo tam bude třeba fgpuj5:h45j4ffd2h nicméně stejně se uživatel s rootem dostane k šifrovacímu algoritmu a k jeho uloženým informacím.

RSS (komentáře k článku)