发现 CyanogenMod 系统中自带 email,登陆后账户密码以明文存储在数据库中
HackerOO7 · 2014-07-17 13:43:16 +08:00 · 4516 次点击这是一个创建于 3786 天前的主题,其中的信息可能已经有所发展或是发生改变。
一般都是使用客户端的。今天使用系统中的 email 登陆了一下QQ邮箱,然后无意中发现了这个问题,不清楚在别的系统上是否存在,疑或正个android中都存在,顿时五雷轰顶啊。
数据库位置:
/data/system/user/0/accounts.db
数据库位置:
/data/system/user/0/accounts.db
第 1 条附言 · 2014-07-17 23:25:33 +08:00
 |
1
sdysj 2014-07-17 14:00:18 +08:00
这个已经很早就吐嘈过了。。。
|
 |
2
Tz101 2014-07-17 14:02:56 +08:00 via Android
我的也有,我用的gmail 客户端,数据库中密码很长,不知道是用什么编译过的,也不知道怎么转换成真实的密码(小白一个)
|
 |
3
GhostFlying 2014-07-17 14:14:13 +08:00
@Tz101 不一定直接就是密码了,也可能是token
|
|
4
GhostFlying 2014-07-17 14:15:25 +08:00  1
实际上如果不root的话,第三方App是没办法访问这个目录的,如果root了,谨慎授权问题也不算大
|
 |
5
jok3r 2014-07-17 14:18:00 +08:00
高二第一次用Android时,发现这问题,还以为自己将要走向人生巅峰了.....
|
 |
6
multiple1902 2014-07-17 14:18:27 +08:00 1
Gmail 可能有它私有的协议。通用的 E-mail 的 app 应该是要提交密码到服务器才能收发邮件的吧。这样的话,密码总得以某个形式保存下来,要么是明文,要么是加密再解密。在本机能解密的加密跟明文存储的区别已经不大了。
想要不在本机保存明文密码的话,可以让 E-mail 的协议里加上类似 token 的东西(好像 Gmail 就在做这个事情),也可以把密码放在别的机器上(比如服务器),这样至少手机上就没有密码了。 |
 |
7
icedx 2014-07-17 14:21:37 +08:00
谁叫你Root的
|
 |
8
love 2014-07-17 17:24:14 +08:00
你是在客户端上,因为还要明文发给服务器,所以只能明文保存,不然还能怎样?做些简单加密?直接看下程序源码不就可以反解了。
|
 |
9
yaoyuan1072 2014-07-17 19:10:54 +08:00 via Android
感觉这是安卓硬伤。
|
 |
10
wzxjohn 2014-07-17 19:14:13 +08:00
刚在公司内部看过相关文章就看到了你的吐槽2333
这是Android AccountManager接口保存的用户数据。你可以查查相关资料。 |
 |
11
aliuwr 2014-07-17 20:06:14 +08:00
你以为你电脑/手机上 Chrome/Firefox 里存储的密码和 Cookies 不能明文读取?
|
 |
12
wy315700 2014-07-17 20:07:02 +08:00
都拿到你的手机了,还怕被人知道email密码。
|
 |
13
davidyin 2014-07-18 02:56:38 +08:00
用Authenticator,作两步认证
|
 |
14
redtears 2014-07-18 06:53:59 +08:00
|
Select Language