Aplikace S Poznámka uchovává heslo k účtu Google v čitelné podobě

Jestliže používáte aplikaci S Poznámka (S Memo) a máte rootnutý telefon, počítejte s potenciálním narušením bezpečnosti vašeho hesla k účtu Google.

Vývojář, vystupující v diskuzním fóru XDA Developers pod přezdívkou graffixnyc, zjistil, že aplikace S Poznámka, která je součástí základní výbavy například Samsungu Galaxy S III, ukládá přihlašovací údaje k účtu Google do interní databáze jako prostý text bez jakéhokoli šifrování. K databázi, v níž je heslo uloženo, se ale dá dostat jedině s oprávněními roota – bez nich jsou tyto údaje pro uživatele i jiné programy nedostupné.

graffixnyc o svém objevu neprodleně informoval na XDA, kde z následné diskuze vyplynulo, že uživatelé, jež nemají rootnuté zařízení, se nemají čeho obávat. Protože ale poměrně značné procento majitelů Galaxy S III tento telefon rootuje, je počet reálně ohrožených značný. Podle dalšího vývojáře s nickem ViViDboarder je ale přístup k uvedeným informacím obtížný – buď by aplikace, jež by se chtěla k databázi dostat, musela zobrazit požadavek na schválení příslušných oprávnění, nebo ochranu obejít.

graffixnyc na chybu přišel při zkoumání databáze aplikace S Poznámka na svém Galaxy S III od operátora AT&T s oficiálním Jelly Beanem. Když otevřel tabulku v SQLite editoru, byl velmi nemile překvapen, když spatřil své uživatelské jméno a heslo v čitelné podobě, což také doložil snímkem obrazovky.

Pro ty, kdož by si chtěli uvedený problém vyzkoušet v praxi, doporučuje následující postup:

1. Nastavte synchronizaci S Poznámky s účtem Google.
2. Pomocí SQLite editoru přejděte do /data/data/com.sec.android.provider.smemo/databases.
3. Otevřete soubor Pen_memo.db a vyberte tabulku CommonSettings. Zde byste měli vidět přihlašovací údaje k zadanému účtu Google uložené ve formátu prostého textu.

V každém případě jde o poměrně zásadní chybu, potvrzující skutečnost, že Android je sám o sobě bezpečným operačním systémem, nicméně jeho bezpečnost stojí a padá s aplikacemi třetích stran, včetně těch, jež do svých zařízení instalují výrobci a mobilní operátoři. Riziko pochopitelně roste s povyšování práv, ke kterému jsou často využívány známé bezpečnostní díry. Rootnutí zařízení vždy obnáší potenciální nebezpečí, zejména pokud je telefon v rukách nezkušeného uživatele. Fakt, že Samsung ukládá heslo v nešifrované podobě, je znepokojující, nicméně z části pochopitelný, pokud Samsung počítá s tím, že většina jeho zákazníků nebude telefon rootovat.

Kromě opatrnosti je jedním z možných řešení odinstalace nebo zmrazení aplikace S Poznámka, radikálnějším krokem je pak změna ROM. Samsung se k nalezenému problému zatím oficiálně nevyjádřil.

Zdroje: Android Community, Talk Android, XDA Developers, Droid Life, Droid Dog, Android Headlines.