Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podobě
Karel Kilián
Jestliže používáte aplikaci S Poznámka (S Memo) a máte rootnutý telefon, počítejte s potenciálním narušením bezpečnosti vašeho hesla k účtu Google.
Vývojář, vystupující v diskuzním fóru XDA Developers pod přezdívkou graffixnyc, zjistil, že aplikace S Poznámka, která je součástí základní výbavy například Samsungu Galaxy S III, ukládá přihlašovací údaje k účtu Google do interní databáze jako prostý text bez jakéhokoli šifrování. K databázi, v níž je heslo uloženo, se ale dá dostat jedině s oprávněními roota – bez nich jsou tyto údaje pro uživatele i jiné programy nedostupné.
Aplikace S Poznámkagraffixnyc o svém objevu neprodleně informoval na XDA, kde z následné diskuze vyplynulo, že uživatelé, jež nemají rootnuté zařízení, se nemají čeho obávat. Protože ale poměrně značné procento majitelů Galaxy S III tento telefon rootuje, je počet reálně ohrožených značný. Podle dalšího vývojáře s nickem ViViDboarder je ale přístup k uvedeným informacím obtížný – buď by aplikace, jež by se chtěla k databázi dostat, musela zobrazit požadavek na schválení příslušných oprávnění, nebo ochranu obejít.
graffixnyc na chybu přišel při zkoumání databáze aplikace S Poznámka na svém Galaxy S III od operátora AT&T s oficiálním Jelly Beanem. Když otevřel tabulku v SQLite editoru, byl velmi nemile překvapen, když spatřil své uživatelské jméno a heslo v čitelné podobě, což také doložil snímkem obrazovky.
Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podoběPro ty, kdož by si chtěli uvedený problém vyzkoušet v praxi, doporučuje následující postup:
Jana Skálová- Nastavte synchronizaci S Poznámky s účtem Google.
- Pomocí SQLite editoru přejděte do /data/data/com.sec.android.provider.smemo/databases.
- Otevřete soubor Pen_memo.db a vyberte tabulku CommonSettings. Zde byste měli vidět přihlašovací údaje k zadanému účtu Google uložené ve formátu prostého textu.
V každém případě jde o poměrně zásadní chybu, potvrzující skutečnost, že Android je sám o sobě bezpečným operačním systémem, nicméně jeho bezpečnost stojí a padá s aplikacemi třetích stran, včetně těch, jež do svých zařízení instalují výrobci a mobilní operátoři. Riziko pochopitelně roste s povyšování práv, ke kterému jsou často využívány známé bezpečnostní díry. Rootnutí zařízení vždy obnáší potenciální nebezpečí, zejména pokud je telefon v rukách nezkušeného uživatele. Fakt, že Samsung ukládá heslo v nešifrované podobě, je znepokojující, nicméně z části pochopitelný, pokud Samsung počítá s tím, že většina jeho zákazníků nebude telefon rootovat.
Kromě opatrnosti je jedním z možných řešení odinstalace nebo zmrazení aplikace S Poznámka, radikálnějším krokem je pak změna ROM. Samsung se k nalezenému problému zatím oficiálně nevyjádřil.
Zdroje: Android Community, Talk Android, XDA Developers, Droid Life, Droid Dog, Android Headlines.
Jakub Kárník
Marek Houser
Adam Kurfürst
Komentáře (6)
Přidat komentář