Копався я, значить, в інтернеті у своїх справах і наткнувся в пошуку на прецікаві затвердження. Мовляв на пристроях під управлінням Android паролі зберігаються в базі даних у відкритому вигляді. Фантастика. Невже програмісти Google такі дурні? А ось доморощені хакери, як завжди, на висоті :-). Здавалося б, як все просто, скопіював з телефону файл /data/system/accounts.db або / data / system / users / 0 (залежить від версії android), відкрив його sqlite-браузером і ось вони, паролі, на блюдечку! Користуйся. Ну і хто прочитав паролі? А? Не буду описувати процес аутентифікації докладно. Це буде нудно. Так ось, коли Ви реєструєте свій пристрій в акаунті google, ви проходите стандартну процедуру аутентифікації. Тобто, вводите свій email та пароль. Після цього, пристрій передає на сервер назву і модель пристрою, imei і отримує auth token (авторизаційний токен). дійсний тільки для даного пристрою. Ось він і зберігається в account.db.
І практично всі сучасні сервіси використовують такий тип авторизації. Отже, якщо Ви забули пароль від свого облікового запису Google, шукати його в телефоні абсолютно марно. Спробуйте стандартна програма відновлення пароля до аккаунту. Щоб подивитися які пристрої підключені до аккаунту (за умови що у вас є пароль) зайдіть в свій аккаунт google - настройки - аккаунт - особистий кабінет і Ви побачите свій пристрій. Можна, до речі, спробувати його пошукати, якщо пристрій підключено до мережі інтернет.
Вибачте, я назвав свій телефон носком, просто, він періодично втрачається :-). Отже, якщо у вас вкрали пристрій, або ви його втратили, ви можете його відключити в своєму акаунті.
Після цього, auth token буде недійсний, і з цього пристрою буде неможливо підключитися до цього аккаунту. А ось дані, що знаходяться на пристрої, пошту і інше, якщо вони не були зашифровані, можна буде прочитати. В акаунті, також, можна віддалено стерти дані з пристрою. Тобто, при натисканні цієї кнопки, при першому ж вході пристрою в інтернет, дані будуть видалені. Це, якщо не брати до уваги їх заздалегідь без входу в інтернет. Бажано, звичайно, шифрувати дані на пристрої, але це зовсім інша тема. А взагалі, Google рекомендує двухфакторную аутентифікацію. Зберігати паролі потрібно для Email протоколів POP3, IMAP, SMTP і Exchange ActiveSync. Всі вони вимагають надання пароля при кожному підключенні до сервера. І то вони шифруються, нехай не так складно. А у відкритому вигляді паролі зберігалися тільки на зорі розвитку мережі інтернет :-).
Гарного вам настрою.
Автор: Darkeye .
Ще цікаве в мережі.
Схожі матеріали
Перейти до стрічки статей
Невже програмісти Google такі дурні?Ну і хто прочитав паролі?
А?