Ein Android-Gerät zu rooten eröffnet zahlreiche neue Verwendungsmöglichkeiten, setzt den User durch die Umgehung systeminhärenter Sicherheitsmechanismen aber auch potenziell großer Gefahr aus.
Username und Passwort unverschlüsselt hinterlegt
Ein Risiko für User von Geräten von Samsungs Galaxy-Reihe, abgesehen vom Galaxy Nexus-Smartphone, stellt offenbar die vorinstallierte Notiz- und Erinnerungs-App "S-Memo" dar. Wie graffixnyc, User der XDA-Entwicklerforen, herausgefunden hat, speichert das Programm sensible Daten im Klartext.
Wie sich beim Öffnen der von S-Memo angelegten SQLite-Datenbankdateien zeigte, gehört auch das Google-Konto des Nutzers zu eben diesen Informationen. Fatal ist allerdings, dass Username und Passwort im Klartext abgespeichert sind. Sollte sich jemand Zugriff auf das Gerät verschaffen können, was durch das Rooten ohne entsprechender Sicherheitsmaßnahmen erleichtert wird, ist damit die Übernahme des Google-Accounts des Betroffenen möglich.
Warnung vor unvorsichtigen Programmierern
Betroffen scheinen tatsächlich nur Nutzer zu sein, die sich erweiterte Rechte auf ihrem Gerät beschafft haben (und nur dann lassen sich besagte SQL-Files einfach so auslesen). Trotzdem ist es ein Versäumnis der Programmierer, dass heikle Logindaten von der Samsung-App unverschlüsselt hinterlegt werden, wie User ViViDboarder korrekt anmerkt. Das Problem wird intensiv im Forenthread diskutiert.
Das XDA-Team ruft nun in einem Blogpost dazu auf, mehr Vorsicht im Umgang mit gerooteten Handys und Tablets walten zu lassen, da eben nicht jedem Entwickler vorsichtiger Umgang mit Nutzerdaten zugetraut werden kann. (red, derStandard.at, 13.11.2012)