Galaxy-Serie: S-Memo speichert Google-Kontodaten im Klartext

13. November 2012, 17:22
29 Postings

Samsung-App schafft Sicherheitslücke auf gerooteten Android-Devices

Ein Android-Gerät zu rooten eröffnet zahlreiche neue Verwendungsmöglichkeiten, setzt den User durch die Umgehung systeminhärenter Sicherheitsmechanismen aber auch potenziell großer Gefahr aus.

Username und Passwort unverschlüsselt hinterlegt

Ein Risiko für User von Geräten von Samsungs Galaxy-Reihe, abgesehen vom Galaxy Nexus-Smartphone, stellt offenbar die vorinstallierte Notiz- und Erinnerungs-App "S-Memo" dar. Wie graffixnyc, User der XDA-Entwicklerforen, herausgefunden hat, speichert das Programm sensible Daten im Klartext.

Wie sich beim Öffnen der von S-Memo angelegten SQLite-Datenbankdateien zeigte, gehört auch das Google-Konto des Nutzers zu eben diesen Informationen. Fatal ist allerdings, dass Username und Passwort im Klartext abgespeichert sind. Sollte sich jemand Zugriff auf das Gerät verschaffen können, was durch das Rooten ohne entsprechender Sicherheitsmaßnahmen erleichtert wird, ist damit die Übernahme des Google-Accounts des Betroffenen möglich.

Warnung vor unvorsichtigen Programmierern

Betroffen scheinen tatsächlich nur Nutzer zu sein, die sich erweiterte Rechte auf ihrem Gerät beschafft haben (und nur dann lassen sich besagte SQL-Files einfach so auslesen). Trotzdem ist es ein Versäumnis der Programmierer, dass heikle Logindaten von der Samsung-App unverschlüsselt hinterlegt werden, wie User ViViDboarder korrekt anmerkt. Das Problem wird intensiv im Forenthread diskutiert.

Das XDA-Team ruft nun in einem Blogpost dazu auf, mehr Vorsicht im Umgang mit gerooteten Handys und Tablets walten zu lassen, da eben nicht jedem Entwickler vorsichtiger Umgang mit Nutzerdaten zugetraut werden kann. (red, derStandard.at, 13.11.2012)

  • Samsungs S-Memo-App geht unvorsichtig mit Userdaten um...
    foto: samsung

    Samsungs S-Memo-App geht unvorsichtig mit Userdaten um...

  • ...und speichert die Google-Kontodaten im Klartext ab.
    foto: xda-developers.com / graffixnyc

    ...und speichert die Google-Kontodaten im Klartext ab.

Share if you care.