Sementara beberapa mungkin menghabiskan akhir pekan mereka bersantai di tepi kolam renang atau di pesta ulang tahun balita, beberapa duduk-duduk. Kami senang dalam hal ini, karena Cory (admin Forum Pusat Android kami) menemukan sesuatu yang harus hati-hati oleh sebagian besar dari kita - dalam banyak kasus kata sandi Anda disimpan sebagai teks biasa di basis data internal. Kami menghabiskan sebagian besar Sabtu kami untuk melacak masalah, menjelajahi halaman bug kode Google, menguji berbagai ponsel yang menjalankan berbagai ROM, dan bahkan memanggil profesional untuk klarifikasi. Hit the break untuk melihat apa yang ditemukan, dan apa yang mungkin perlu Anda perhatikan jika Anda telah me-rooting ponsel Anda. Dan alat peraga besar untuk Cory!
Agar jelas, ini hanya memengaruhi pengguna yang di-rooting. Ini juga merupakan alasan bagus mengapa kami menekankan tanggung jawab ekstra yang datang dengan menjalankan OS yang di-root pada ponsel Anda. Jika Anda belum melakukan root, masalah khusus ini tidak akan memengaruhi Anda, tetapi masih layak dibaca jika hanya untuk menenangkan pikiran Anda bahwa tidak melakukan rooting adalah pilihan yang tepat.
Luangkan waktu sejenak dan baca semua temuan kami, yang Cory sebutkan dengan sangat baik di sini. Saya akan meringkas: Aplikasi tertentu, termasuk klien email Froyo (Android 2.2) stok, menyimpan nama pengguna dan kata sandi Anda sebagai teks biasa di basis data akun internal ponsel. Ini termasuk akun email POP dan IMAP, serta akun Exchange (yang dapat menimbulkan masalah lebih besar jika juga informasi login domain Anda). Sekarang sebelum kita mengatakan langit jatuh, jika ponsel Anda tidak di-root, tidak ada aplikasi yang bisa membaca ini. Kami bahkan mengonfirmasi hal ini dengan Kevin McHaffey, Co-Founder dan CTO dari Lookout - yang selalu siap untuk membantu dalam hal keamanan seluler, bahkan pada akhir pekan. Inilah pendapatnya tentang situasinya:
"File accounts.db disimpan oleh layanan sistem android untuk mengelola kredensial akun secara terpusat (misalnya nama pengguna dan kata sandi) untuk aplikasi. Secara default, izin pada basis data akun harus membuat file hanya dapat diakses (yaitu baca + tulis) ke pengguna sistem. Tidak ada aplikasi pihak ketiga yang dapat secara langsung mengakses file tersebut. Pemahaman saya adalah bahwa kata sandi atau token otentikasi diizinkan untuk disimpan dalam teks biasa karena file dilindungi oleh izin yang ketat. Juga, beberapa layanan (misalnya Gmail) menyimpan token otentikasi alih-alih kata sandi jika layanan mendukungnya, meminimalkan risiko kata sandi pengguna dikompromikan.
Akan sangat berbahaya bagi aplikasi pihak ketiga untuk dapat membaca file ini, itulah mengapa sangat penting untuk berhati-hati ketika menginstal aplikasi yang memerlukan akses root. Saya pikir penting bagi semua pengguna yang melakukan root pada ponsel mereka untuk memahami bahwa aplikasi yang berjalan sebagai root memiliki * akses * penuh ke ponsel Anda, termasuk informasi akun Anda.
Jika basis data akun dapat diakses oleh pengguna non-sistem (mis. Kepemilikan pengguna atau grup atas file selain dari "sistem" atau hak baca dunia pada file) itu akan menjadi kerentanan keamanan yang besar."
Untuk membuatnya lebih sederhana, Android diatur sehingga aplikasi tidak dapat membaca database yang tidak terkait dengannya. Tapi begitu Anda menyediakan alat untuk menjalankan aplikasi sebagai root, semua ini berubah. Tidak hanya seseorang yang memiliki akses fisik ke telepon Anda dapat melihat file-file ini dan mungkin mendapatkan kredensial login Anda, malware yang sangat jahat dapat dibuat yang melakukan hal yang sama dan mengirimkan data kembali ke rumah. Kami tidak menemukan contoh aplikasi seperti ini di alam bebas, tetapi sangat berhati-hati (seperti biasa) dari aplikasi yang Anda instal, dan baca izin aplikasi itu!
Meskipun ini bukan masalah bagi sebagian besar pengguna, akan lebih baik untuk mengenkripsi entri ini di Android build mendatang. Ternyata, orang lain berpikir begitu, dan ada entri di halaman masalah Android Google, yang dapat dibintangi oleh pihak yang berminat untuk tetap mendapat informasi tentangnya serta menambahkannya dalam daftar.
Kami tentu saja tidak ingin meledakkan ini di luar proporsi, tetapi pengetahuan adalah kekuatan dalam situasi seperti ini. Jika Anda telah melakukan rooting pada ponsel Android baru yang mengkilap itu, lakukan beberapa tindakan pencegahan ekstra agar tetap aman.
