X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Samsungs S Memo speichert Klartext-Passwörter. Aufpassen bei Root!

Nico Heister
17

Durch Zufall hat ein Mitglied der XDA-Developers entdeckt, dass die Notiz-App S Memo von Samsung das Google-Passwort im Klartext, also ohne Verschlüsselung speichert. Vorsicht ist geboten!

Bei dem entsprechenden Gerät handelt es sich um ein Samsung Galaxy S3 mit Root-Rechten. Ein XDA-Developers-Mitglied hat sich eines Tages die SQLite-Datenbank der Samsung-App S Memo genauer angeschaut und festgestellt, dass sein Google-Passwort ohne jegliche Verschlüsselung in der Datenbank gespeichert wurde und theoretisch von jeder App mit Root-Rechten ausgelesen werden kann.

Für Panikmache ist es zwar noch zu früh, aber das jüngste Beispiel macht erneut deutlich, dass Ihr nur vertrauenswürdigen Apps Root-Rechte geben solltet, da eine bösartige App mit Root-Rechten sonst schnell private Daten und Passwörter ausspähen kann. Nichtsdestotrotz sollten Passwörter natürlich niemals in Reintext abgespeichert werden und auch wenn die Gefahr erstmals nur für gerootete Geräte besteht, bessert Samsung an dieser Stelle hoffentlich bald nach.

(Foto: Nico Heister/AndroidPIT)

Verwandte Themen

Auch interessant

Magazin / Hardware
105 vor 17 Stunden

Galaxy F alias Alpha geleakt: Das ist der iPhone-Killer

Magazin / Hardware
18 vor 1 Tag

Samsung Galaxy S5: Update verbessert die Performance

Magazin / Apps
24 vor 1 Tag

Die besten Apps für Android Wear

Kommentare

Neuen Kommentar schreiben:
  • Marcus B. 13.11.2012 Link

    Danke für den Hinweis! Werde sie vorsorglich entfernen ..

    0
    0
  • Alexander G. 13.11.2012 Link

    Weißt du ob nur die S Memo oder auch S Note beim Note 2 betroffen ist?
    Überlege ständig zwischen dem Note II und Nexus 4 hin und her, nachdem mein Nexus S "gestorben" ist…

    0
    0
  • User-Foto
    Admin
    Nico Heister 13.11.2012 Link

    Bisher wurde nur S Memo erwähnt, aber es ist natürlich nicht auszuschließen, dass bei anderen Samsung-Apps die Passwörter ebenfalls nur im Klartext abgespeichert werden.

    0
    0
  • PS_Francisco 13.11.2012 Link

    Rein theoretisch ist das nicht samsungs Schuld, da es im ungerooteten zustand nicht einsehbar ist. Aber trotzdem ist es nicht so toll passwörter so zu speichern.

    0
    0
  • Pinky 13.11.2012 Link

    wer kann sich denn bitte nicht ein paar buchstaben/zahlen merken? nen passwort sollte man doch nicht speichen.
    ich klebe doch auch nicht die pin von der ec-karte direkt an die karte, weil ich mir die nummer nicht merken kann.

    0
    0
  • Sebastian L. 13.11.2012 Link

    Ich verstehe den Beitrag net so recht... sind Passwörter auslesbar, welche ich in einer Memo abgespeichert habe? Oder liest du App auch Passwörter von meinem System zB für den Play store und speichert sie intern?
    Wenn das erste der Fall ist... wer seine Passwörter so ablegt ist selber schuld... dafür gibt's doch eigene Apps.

    0
    0
  • User-Foto
    Admin
    Nico Heister 13.11.2012 Link

    @ Sebastian L.: Dein Google-Passwort wird von S Memo in einer Datenbank abgespeichert. Das wird aber nicht - wie sonst üblich - verschlüsselt abgespeichert, sondern im Klartext. Das bedeutet, dass eine bösartige App mit Root-Rechten Dein Passwort auslesen könnte.

    0
    0
  • Christian Martens 13.11.2012 Link

    @Pinky, schon beim Einrichten desTelefons gibst Du Dein gmail-passwort ein...

    0
    0
  • Hans Dampf 13.11.2012 Link

    Wundert mich nicht, war früher bei der Standard-App für Email unter Android auch so. Weiß nicht ob das mittlerweile geändert wurde, kann mich aber an die Diskussion daran erinnern, die dadurch entstand. So war der Standpunkt der Android-Leute von Google, dass das Sicherheitskonzept von Android ja verhindert, dass man an das File mit den Klarpasswörtern kommt. Das Konzept greift nur nicht wenn das Phone Root hat.

    0
    0
  • Hans Dampf 13.11.2012 Link

    @Christian Martens
    Bei Gmail ist der Google Authenticator sinnvoll, dadurch gibt man nicht das eigentliche Gmail-Passwort ein...

    0
    0
  • Enrico 13.11.2012 Link

    @PS_Francisco: Blödsinn. Das Passwort wird als Klartext abgespeichert, ob das Telefon jetzt gerootet ist oder nicht, das spielt überhaupt kein Rolle. Zum Auslesen ist auch nicht zwingend root erforderlich. Mit adb zB., bekommst du beinahe jede Datei vom Telefon. Es ist sogar "sicherer" ein gerootetes Telefon zu haben, da man mit Programmen wie SuperUser über jeden root-Zugriff informiert wird und dies bei Bedarf blockieren kann. Das ist Samsungs Schuld.

    Vor einiger Zeit haben einige Apps die Runde gemacht, die sich selbständig root-Zugriffe gewährt haben, auch wenn man sein Telefon nicht modifiziert hatte. Damals war es auch so, dass jeder der root-Rechte hatte, über dieses Vorgehen durch die SuperUser App informiert wurde und dies "abwehren" konnte.

    0
    0
  • Hippo 13.11.2012 Link

    Da hat Samsung ja mal ordentlich Mist gebaut! Passwörter speichert man einfach nicht im Klartext und dass das dann auch noch einem Welt Konzern, mit einer App die auf fast allen Geräten installiert ist, passiert ist schon ziemlich peinlich. Wenn sich eine App durch eine Sicherheitslücke root beschaffen kann sind auch ungerootete Geräte betroffen.

    Jetzt weiß ich auch, warum sie nicht den Sourcecode für ihre Chips veröffentlichen wollten: die Entwickler schämen sich dafür!

    0
    0
  • Olli Er 14.11.2012 Link

    Ich frag mich, wozu die SMemo-App das Google-PW überhaupt 'braucht'? Oo

    0
    0
  • SH K. 14.11.2012 Link

    kleine korrektur. es ist anscheinend das s note was betroffen ist und nicht s memo. und s note kann man mit google drive synchronisieren. die galaxy s serie waere also nicht betroffen, oder haben sie inzwischen auch das s note?

    0
    0
  • Philipp Junghannß (My1) 14.11.2012 Link

    ich hab das N2, zum glück bisher ohne root...

    0
    0
  • Lider Maximo 14.11.2012 Link

    Ich habe das mal überprüft, der XDA User benutzt ja ein SGS3 AT&T-SGH-I747, nicht ein SGS3-I9300, ist also andere Hardware.

    Bei meinem SGS3-I9305, mein I9300 habe ich leider nicht bei mir, steht dort nichts zu meinem Google Account.

    Eventuell könnte das ein I9300 Besitzer mal kurz gegen checken.

    Ich tippe aber das es nur Snapdragon Hardware betrifft und keine Exynos Hardware.

    0
    0
  • Philipp Junghannß (My1) 14.11.2012 Link

    mal ne Frage: in Welchen Jenseits genau steht n das???

    0
    0