Aplikace S-Memo si uchovává heslo k Google účtu ve formě čistého textu v lokální SQLite databázi

2

Poučku, že hesla by se za žádných okolností neměla uchávavat v aplikacích ve své původní podobě a že by se měla alespoň základně hashovat, zná takřka každý člověk, který se kdy pokusil naprogramovat něco více, než ‚Hello World‘.

I tak se ale čas od času najdou hříšníci, kteří heslo k účtu přeci jen uloží mezi nešifrovaná data aplikace a to navíc v čisté a tedy úplně bezproblémů čitelné formě. A občas jsou ti hříšníci z velkých firem, třeba z takového Samsungu.

Uživateli graffixnyc z XDA fóra se konkrétně podařilo zjistit, že si aplikace S-Memo na Jelly Bean SGS 3 ROMkách uchovává údaje pro synchronizaci s Google Disk účtem, včetně jména a hesla, v lokální a nikterak našifrované SQLite databázi.

Určité uklidnění může poskytnou fakt, že přímo k těmto datům by se žádná jiná normální aplikace bez práv root dostat neměla. Na druhou stranu tvůrci škodlivých aplikací jsou velice důmyslní a i kdyby to bez rootu opravdu nešlo, tak rootlých telefonů je dnes dlouhá řada.

Pokud tedy používáte na rootlém Samsungu Galaxy S III s Jelly Beanem aplikaci S-Memo s nastavenou synchronizací na Google Drive, tak si dávejte pozor. Takřka jakýkoliv útočník může totiž poměrně jednoduše získat Vaše heslo a jméno Google účtu v krásně čitelné podobě.

Zdroj: XDA

 

  • Canter

    Pro toho kdo pouziva vicenasobne heslo do Google, by to i v nejhorsim nemelo znamenat ovladnuti celeho uctu, ale jen google drive.

    • Dvoufázové ověření funguje všude, takže by to nemělo znamenat nic vážnějšího (ani v Google drive), jenom nutnou změnu hesla.