Samsungs S Memo speichert Klartext-Passwörter. Aufpassen bei Root!
Bei dem entsprechenden Gerät handelt es sich um ein Samsung Galaxy S3 mit Root-Rechten. Ein XDA-Developers-Mitglied hat sich eines Tages die SQLite-Datenbank der Samsung-App S Memo genauer angeschaut und festgestellt, dass sein Google-Passwort ohne jegliche Verschlüsselung in der Datenbank gespeichert wurde und theoretisch von jeder App mit Root-Rechten ausgelesen werden kann.
Für Panikmache ist es zwar noch zu früh, aber das jüngste Beispiel macht erneut deutlich, dass Ihr nur vertrauenswürdigen Apps Root-Rechte geben solltet, da eine bösartige App mit Root-Rechten sonst schnell private Daten und Passwörter ausspähen kann. Nichtsdestotrotz sollten Passwörter natürlich niemals in Reintext abgespeichert werden und auch wenn die Gefahr erstmals nur für gerootete Geräte besteht, bessert Samsung an dieser Stelle hoffentlich bald nach.
(Foto: Nico Heister/AndroidPIT)
Auch interessant
Galaxy S3 und Note 2: Update auf Android 4.2.2 im dritten Quartal
CyanogenMod versus TouchWiz im Kamera-Check: Wer macht bessere Bilder?
Galaxy NX: Bilder von Samsungs neuer Android-Kamera
Samsung Galaxy S3 und Note 2: Update auf Android 4.2.2 verzögert sich
[Update] Galaxy Note 3: Bilder des Prototypen aufgetaucht
Nicht nur Apple ist ein Galaxy-Schreck: Samsungs Höhenflug ist zu Ende
Galaxy S4 und Note 2 drahtlos laden mit Qi: Neues Zubehör von Zens
Kommentare
mal ne Frage: in Welchen Jenseits genau steht n das???
Ich habe das mal überprüft, der XDA User benutzt ja ein SGS3 AT&T-SGH-I747, nicht ein SGS3-I9300, ist also andere Hardware.
Bei meinem SGS3-I9305, mein I9300 habe ich leider nicht bei mir, steht dort nichts zu meinem Google Account.
Eventuell könnte das ein I9300 Besitzer mal kurz gegen checken.
Ich tippe aber das es nur Snapdragon Hardware betrifft und keine Exynos Hardware.
ich hab das N2, zum glück bisher ohne root...
kleine korrektur. es ist anscheinend das s note was betroffen ist und nicht s memo. und s note kann man mit google drive synchronisieren. die galaxy s serie waere also nicht betroffen, oder haben sie inzwischen auch das s note?
Ich frag mich, wozu die SMemo-App das Google-PW überhaupt 'braucht'? Oo
Da hat Samsung ja mal ordentlich Mist gebaut! Passwörter speichert man einfach nicht im Klartext und dass das dann auch noch einem Welt Konzern, mit einer App die auf fast allen Geräten installiert ist, passiert ist schon ziemlich peinlich. Wenn sich eine App durch eine Sicherheitslücke root beschaffen kann sind auch ungerootete Geräte betroffen.
Jetzt weiß ich auch, warum sie nicht den Sourcecode für ihre Chips veröffentlichen wollten: die Entwickler schämen sich dafür!
@PS_Francisco: Blödsinn. Das Passwort wird als Klartext abgespeichert, ob das Telefon jetzt gerootet ist oder nicht, das spielt überhaupt kein Rolle. Zum Auslesen ist auch nicht zwingend root erforderlich. Mit adb zB., bekommst du beinahe jede Datei vom Telefon. Es ist sogar "sicherer" ein gerootetes Telefon zu haben, da man mit Programmen wie SuperUser über jeden root-Zugriff informiert wird und dies bei Bedarf blockieren kann. Das ist Samsungs Schuld.
Vor einiger Zeit haben einige Apps die Runde gemacht, die sich selbständig root-Zugriffe gewährt haben, auch wenn man sein Telefon nicht modifiziert hatte. Damals war es auch so, dass jeder der root-Rechte hatte, über dieses Vorgehen durch die SuperUser App informiert wurde und dies "abwehren" konnte.
@Christian Martens
Bei Gmail ist der Google Authenticator sinnvoll, dadurch gibt man nicht das eigentliche Gmail-Passwort ein...
Wundert mich nicht, war früher bei der Standard-App für Email unter Android auch so. Weiß nicht ob das mittlerweile geändert wurde, kann mich aber an die Diskussion daran erinnern, die dadurch entstand. So war der Standpunkt der Android-Leute von Google, dass das Sicherheitskonzept von Android ja verhindert, dass man an das File mit den Klarpasswörtern kommt. Das Konzept greift nur nicht wenn das Phone Root hat.
@Pinky, schon beim Einrichten desTelefons gibst Du Dein gmail-passwort ein...
@ Sebastian L.: Dein Google-Passwort wird von S Memo in einer Datenbank abgespeichert. Das wird aber nicht - wie sonst üblich - verschlüsselt abgespeichert, sondern im Klartext. Das bedeutet, dass eine bösartige App mit Root-Rechten Dein Passwort auslesen könnte.
Ich verstehe den Beitrag net so recht... sind Passwörter auslesbar, welche ich in einer Memo abgespeichert habe? Oder liest du App auch Passwörter von meinem System zB für den Play store und speichert sie intern?
Wenn das erste der Fall ist... wer seine Passwörter so ablegt ist selber schuld... dafür gibt's doch eigene Apps.
wer kann sich denn bitte nicht ein paar buchstaben/zahlen merken? nen passwort sollte man doch nicht speichen.
ich klebe doch auch nicht die pin von der ec-karte direkt an die karte, weil ich mir die nummer nicht merken kann.
Rein theoretisch ist das nicht samsungs Schuld, da es im ungerooteten zustand nicht einsehbar ist. Aber trotzdem ist es nicht so toll passwörter so zu speichern.
Bisher wurde nur S Memo erwähnt, aber es ist natürlich nicht auszuschließen, dass bei anderen Samsung-Apps die Passwörter ebenfalls nur im Klartext abgespeichert werden.
Weißt du ob nur die S Memo oder auch S Note beim Note 2 betroffen ist?
Überlege ständig zwischen dem Note II und Nexus 4 hin und her, nachdem mein Nexus S "gestorben" ist…
Danke für den Hinweis! Werde sie vorsorglich entfernen ..