V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
HackerOO7
V2EX  ›  分享发现

发现 CyanogenMod 系统中自带 email,登陆后账户密码以明文存储在数据库中

  •  
  •   HackerOO7 · 2014-07-17 13:43:16 +08:00 · 4501 次点击
    这是一个创建于 3767 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一般都是使用客户端的。今天使用系统中的 email 登陆了一下QQ邮箱,然后无意中发现了这个问题,不清楚在别的系统上是否存在,疑或正个android中都存在,顿时五雷轰顶啊。

    数据库位置:
    /data/system/user/0/accounts.db
    第 1 条附言  ·  2014-07-17 23:25:33 +08:00
    受教了,于是又看了一篇文章
    http://blog.csdn.net/androidsecurity/article/details/8666954
    14 条回复    2014-07-18 06:53:59 +08:00
    sdysj
        1
    sdysj  
       2014-07-17 14:00:18 +08:00
    这个已经很早就吐嘈过了。。。
    Tz101
        2
    Tz101  
       2014-07-17 14:02:56 +08:00 via Android
    我的也有,我用的gmail 客户端,数据库中密码很长,不知道是用什么编译过的,也不知道怎么转换成真实的密码(小白一个)
    GhostFlying
        3
    GhostFlying  
       2014-07-17 14:14:13 +08:00
    @Tz101 不一定直接就是密码了,也可能是token
    GhostFlying
        4
    GhostFlying  
       2014-07-17 14:15:25 +08:00   ❤️ 1
    实际上如果不root的话,第三方App是没办法访问这个目录的,如果root了,谨慎授权问题也不算大
    jok3r
        5
    jok3r  
       2014-07-17 14:18:00 +08:00
    高二第一次用Android时,发现这问题,还以为自己将要走向人生巅峰了.....
    multiple1902
        6
    multiple1902  
       2014-07-17 14:18:27 +08:00   ❤️ 1
    Gmail 可能有它私有的协议。通用的 E-mail 的 app 应该是要提交密码到服务器才能收发邮件的吧。这样的话,密码总得以某个形式保存下来,要么是明文,要么是加密再解密。在本机能解密的加密跟明文存储的区别已经不大了。

    想要不在本机保存明文密码的话,可以让 E-mail 的协议里加上类似 token 的东西(好像 Gmail 就在做这个事情),也可以把密码放在别的机器上(比如服务器),这样至少手机上就没有密码了。
    icedx
        7
    icedx  
       2014-07-17 14:21:37 +08:00
    谁叫你Root的
    love
        8
    love  
       2014-07-17 17:24:14 +08:00
    你是在客户端上,因为还要明文发给服务器,所以只能明文保存,不然还能怎样?做些简单加密?直接看下程序源码不就可以反解了。
    yaoyuan1072
        9
    yaoyuan1072  
       2014-07-17 19:10:54 +08:00 via Android
    感觉这是安卓硬伤。
    wzxjohn
        10
    wzxjohn  
       2014-07-17 19:14:13 +08:00
    刚在公司内部看过相关文章就看到了你的吐槽2333
    这是Android AccountManager接口保存的用户数据。你可以查查相关资料。
    aliuwr
        11
    aliuwr  
       2014-07-17 20:06:14 +08:00
    你以为你电脑/手机上 Chrome/Firefox 里存储的密码和 Cookies 不能明文读取?
    wy315700
        12
    wy315700  
       2014-07-17 20:07:02 +08:00
    都拿到你的手机了,还怕被人知道email密码。
    davidyin
        13
    davidyin  
       2014-07-18 02:56:38 +08:00
    用Authenticator,作两步认证
    redtears
        14
    redtears  
       2014-07-18 06:53:59 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2767 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:50 · PVG 21:50 · LAX 05:50 · JFK 08:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.