发现 CyanogenMod 系统中自带 email,登陆后账户密码以明文存储在数据库中

2014-07-17 13:43:16 +08:00
 HackerOO7
一般都是使用客户端的。今天使用系统中的 email 登陆了一下QQ邮箱,然后无意中发现了这个问题,不清楚在别的系统上是否存在,疑或正个android中都存在,顿时五雷轰顶啊。

数据库位置:
/data/system/user/0/accounts.db
4531 次点击
所在节点    分享发现
14 条回复
sdysj
2014-07-17 14:00:18 +08:00
这个已经很早就吐嘈过了。。。
Tz101
2014-07-17 14:02:56 +08:00
我的也有,我用的gmail 客户端,数据库中密码很长,不知道是用什么编译过的,也不知道怎么转换成真实的密码(小白一个)
GhostFlying
2014-07-17 14:14:13 +08:00
@Tz101 不一定直接就是密码了,也可能是token
GhostFlying
2014-07-17 14:15:25 +08:00
实际上如果不root的话,第三方App是没办法访问这个目录的,如果root了,谨慎授权问题也不算大
jok3r
2014-07-17 14:18:00 +08:00
高二第一次用Android时,发现这问题,还以为自己将要走向人生巅峰了.....
multiple1902
2014-07-17 14:18:27 +08:00
Gmail 可能有它私有的协议。通用的 E-mail 的 app 应该是要提交密码到服务器才能收发邮件的吧。这样的话,密码总得以某个形式保存下来,要么是明文,要么是加密再解密。在本机能解密的加密跟明文存储的区别已经不大了。

想要不在本机保存明文密码的话,可以让 E-mail 的协议里加上类似 token 的东西(好像 Gmail 就在做这个事情),也可以把密码放在别的机器上(比如服务器),这样至少手机上就没有密码了。
icedx
2014-07-17 14:21:37 +08:00
谁叫你Root的
love
2014-07-17 17:24:14 +08:00
你是在客户端上,因为还要明文发给服务器,所以只能明文保存,不然还能怎样?做些简单加密?直接看下程序源码不就可以反解了。
yaoyuan1072
2014-07-17 19:10:54 +08:00
感觉这是安卓硬伤。
wzxjohn
2014-07-17 19:14:13 +08:00
刚在公司内部看过相关文章就看到了你的吐槽2333
这是Android AccountManager接口保存的用户数据。你可以查查相关资料。
aliuwr
2014-07-17 20:06:14 +08:00
你以为你电脑/手机上 Chrome/Firefox 里存储的密码和 Cookies 不能明文读取?
wy315700
2014-07-17 20:07:02 +08:00
都拿到你的手机了,还怕被人知道email密码。
davidyin
2014-07-18 02:56:38 +08:00
用Authenticator,作两步认证
redtears
2014-07-18 06:53:59 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/123119

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX