Logo hi.androidermagazine.com
Logo hi.androidermagazine.com
» सॉफ्टवेयर
सॉफ्टवेयर

रूट किए गए उपयोगकर्ताओं के लिए सुरक्षा बुलेटिन: स्पष्ट पासवर्ड के रूप में संग्रहीत एंड्रॉइड पासवर्ड

रूट किए गए उपयोगकर्ताओं के लिए सुरक्षा बुलेटिन: स्पष्ट पासवर्ड के रूप में संग्रहीत एंड्रॉइड पासवर्ड
Anonim

जबकि कुछ अपने सप्ताहांत बिताने पूलसाइड या बच्चा जन्मदिन पार्टियों में खर्च कर सकते हैं, कुछ बैठते हैं और हैक करते हैं। हमें इस मामले में खुशी हो रही है, क्योंकि Cory (हमारे Android Central Forums admin) ने कुछ ऐसा पाया है कि हममें से एक अच्छी संख्या को सावधान रहने की आवश्यकता है - कई मामलों में आपके पासवर्ड को आंतरिक डेटाबेस में सादे पाठ के रूप में संग्रहीत किया जाता है। हमने अपने शनिवार के एक अच्छे हिस्से को मुद्दों पर नज़र रखने, Google के कोड बग पेजों को खंगालने, विभिन्न रोमों को चलाने वाले विभिन्न फोनों का परीक्षण करने और यहां तक ​​कि स्पष्टीकरण के लिए बुलावा देने में भी खर्च किया। जो मिला था, उसे देखने के लिए ब्रेक मारो और अगर आपने अपना फोन रूट किया है, तो आपको क्या देखने की जरूरत है। और कोरी को बड़ा सहारा!

स्पष्ट होने के लिए, यह केवल रूट किए गए उपयोगकर्ताओं को प्रभावित करता है। यह भी एक बड़ी वजह है कि हम आपके फोन पर रूट ओएस चलाने के साथ आने वाली अतिरिक्त जिम्मेदारियों पर जोर देते हैं। यदि आपने रूट नहीं किया है, तो यह विशेष मुद्दा आपको प्रभावित नहीं करेगा, लेकिन यह अभी भी पढ़ने के लायक है यदि केवल अपने दिमाग को आराम से रखने के लिए कि रूट करना सही विकल्प नहीं था।

एक पल ले लो और हमारे सभी निष्कर्षों को पढ़ें, जो कि कोरी ने यहां बहुत अच्छी तरह से सूचीबद्ध किया है। मैं संक्षेप में बताऊंगा: कुछ एप्लिकेशन, जिनमें स्टॉक Froyo (Android 2.2) ई-मेल क्लाइंट शामिल है, अपने उपयोगकर्ता नाम और पासवर्ड को फोन के आंतरिक खातों के डेटाबेस में सादे पाठ के रूप में संग्रहीत करते हैं। इसमें POP और IMAP मेल खाते और साथ ही Exchange खाते शामिल हैं (जो कि आपके डोमेन की लॉगिन जानकारी भी बड़ा मुद्दा बना सकता है)। अब इससे पहले कि हम कहते हैं कि आकाश गिर रहा है, अगर आपका फोन जड़ नहीं है, तो कोई भी एप्लिकेशन इसे पढ़ने में सक्षम नहीं है। हमने केविन मैकफेफी, लुकआउट के सह-संस्थापक और सीटीओ के साथ भी इस बात की पुष्टि की - जो सप्ताहांत में भी मोबाइल सुरक्षा के लिए एक हाथ उधार देने के लिए तैयार रहते हैं। यहाँ उसकी स्थिति पर है:

"खातों के लिए। Db फ़ाइल को एंड्रॉइड सिस्टम सेवा द्वारा अनुप्रयोगों के लिए खाता क्रेडेंशियल्स (जैसे उपयोगकर्ता नाम और पासवर्ड) प्रबंधित करने के लिए संग्रहीत किया जाता है। डिफ़ॉल्ट रूप से, खातों के डेटाबेस पर अनुमतियों को फ़ाइल को केवल सुलभ (यानी पढ़ना + लिखना) करना चाहिए। सिस्टम उपयोगकर्ता। कोई भी तृतीय पक्ष एप्लिकेशन सीधे फ़ाइल तक पहुंचने में सक्षम नहीं होना चाहिए। मेरी समझ यह है कि पासवर्ड या प्रमाणीकरण टोकन को सादे पाठ में संग्रहीत करने की अनुमति है क्योंकि फ़ाइल को सख्त अनुमतियों द्वारा संरक्षित किया गया है। इसके अलावा, कुछ सेवाएं (जैसे जीमेल) स्टोर। पासवर्ड के बजाय प्रमाणीकरण टोकन अगर सेवा उनका समर्थन करती है, तो उपयोगकर्ता के पासवर्ड के जोखिम को कम करने के लिए समझौता किया जाता है।

इस फ़ाइल को पढ़ने में सक्षम होने के लिए तीसरे पक्ष के अनुप्रयोगों के लिए यह बहुत खतरनाक होगा, यही कारण है कि रूट एक्सेस का उपयोग करने वाले अनुप्रयोगों को स्थापित करते समय सावधान रहना बहुत महत्वपूर्ण है। मुझे लगता है कि यह उन सभी उपयोगकर्ताओं के लिए महत्वपूर्ण है जो अपने फ़ोन को यह समझने के लिए रूट करते हैं कि रूट के रूप में चलने वाले ऐप्स में आपके खाते की जानकारी सहित * पूर्ण * एक्सेस है।

यदि खातों का डेटाबेस गैर-सिस्टम उपयोगकर्ताओं (जैसे "सिस्टम" या फ़ाइल पर दुनिया के विशेषाधिकारों को पढ़ने के अलावा फ़ाइल के स्वामित्व वाले उपयोगकर्ता या किसी अन्य के लिए सुलभ होना चाहिए) तो यह एक बड़ी सुरक्षा भेद्यता होगी।"

इसे सरल शब्दों में कहें, तो एंड्रॉइड की स्थापना इसलिए की जाती है ताकि ऐप उन डेटाबेस को न पढ़ सकें जिनसे वे संबद्ध नहीं हैं। लेकिन एक बार जब आप एप्लिकेशन को रूट के रूप में चलाने के लिए उपकरण प्रदान करते हैं, तो यह सब बदल जाता है। न केवल कोई व्यक्ति आपके फ़ोन तक भौतिक पहुँच के साथ इन फ़ाइलों को देख सकता है और संभवतः आपकी लॉगिन क्रेडेंशियल्स प्राप्त कर सकता है, मैलवेयर का एक बहुत बुरा टुकड़ा बनाया जा सकता है जो एक ही काम करता है और डेटा को घर वापस भेजता है। हमें वाइल्ड में इस तरह के ऐप्स का कोई उदाहरण नहीं मिला, लेकिन आपके द्वारा इंस्टॉल किए गए एप्लिकेशन से बहुत सावधान रहें (हमेशा की तरह), और उन एप्लिकेशन अनुमतियों को पढ़ें!

हालांकि यह उपयोगकर्ताओं के विशाल बहुमत के लिए चिंता का विषय नहीं है, लेकिन भविष्य की एंड्रॉइड बिल्ड में इन प्रविष्टियों को एन्क्रिप्ट करना बेहतर होगा। पता चलता है, कोई और ऐसा सोचता है, और Google के एंड्रॉइड मुद्दों के पन्नों पर एक प्रविष्टि है, जो इच्छुक पार्टियों को इसके बारे में सूचित रहने के लिए स्टार कर सकती है और साथ ही इसे सूची में टक्कर दे सकती है।

हम निश्चित रूप से इसे अनुपात से बाहर नहीं उड़ाना चाहते हैं, लेकिन ज्ञान इस तरह की स्थितियों में शक्ति है। यदि आपने उस चमकदार नए एंड्रॉइड फोन को रूट किया है, तो सुरक्षित रहने के लिए कुछ अतिरिक्त सावधानी बरतें।

सॉफ्टवेयर

संपादकों की पसंद