Gmail şifresi Android'de nasıl saklanır - ve nerede?

Etrafıma baktım ve Android'in cihazda şifreleri depolamayı nasıl yönettiği konusunda hiçbir bilgi bulamadım. Özellikle Gmail şifreleri. Android'in şifreleri nasıl şifrelediğini ve sakladığını öğrenmek için arıyorum? Hangi anahtarı kullanır ve bu anahtar nerede saklanır ve hangi şifreleme algoritmasını kullanır.

Gmail'in resmi uygulaması değildir cihazınızdaki şifreyi saklayın. Bu uygulamayı kullanırsanız şifreniz% 100 güvenlidir.

Bu şekilde çalışır: Şifre, SADECE ilk kez Google’ın kimlik doğrulama sunucuları tarafından kullanılır. İlk başarılı kimlik doğrulamasından sonra, bir dosyaya düz metin olarak Auth Tokendepolanan cihaza indirilir accounts.db. Sonraki tüm girişler için, Auth Tokenorijinal şifreniz DEĞİLDİR.
Bu nedenle, eğer cihazınız çalınmışsa, Auth Tokenşifreniz değiştiğinde herkesin ulaşabileceği bir şey olur. Yani, nihai emrinizde olacaksınız.
En yüksek güvenlik için, cihazınız için etkinleştirmenizi 2-Factor Authenticationve oluşturmanızı öneririm Device Specific Password. Cihazı kaybettikten sonra tek ihtiyacınız olan cihazı devre dışı bırakmak. Ana şifreyi değiştirmenize bile gerek yok.

Not: Gmail viz için üçüncü taraf e-posta uygulamaları kullanıyorsanız, bunlar doğru değildir. Stok E-posta uygulaması, K-9 Posta vb. IMAP veya POP protokolü, kullanıcıların her zaman kimlik doğrulaması için orijinal parola gerektirir. Bu nedenle, uygulamanın sunucuya gönderilmeden önce e-posta ile gönderilmesi için sade parolanın kullanılabilir olması gerekir. Bu nedenle, e-posta uygulamalarının çoğu şifreleri düz metin olarak saklar (karma / şifreleme işe yaramaz çünkü karma / şifreleme anahtarının yerel olarak depolanması gerekir). Bu durumda, cihazınız için etkinleştirmenizi 2-Factor Authenticationve oluşturmanızı tavsiye ederim Device Specific Password. Cihazı kaybettikten sonra tek ihtiyacınız olan cihazı devre dışı bırakmak.

Güncelleme:
Teknik olarak, şifreleme anahtarını / karma anahtarını yerel olarak düz metin olarak tutmadan şifreleri yerel olarak şifrelenmiş / karma biçimde depolamak mümkündür. @JFSebastian 'a işaret ettiği için teşekkür ederiz. Ne yazık ki, Android için böyle bir uygulama henüz mevcut değil. ICS'yi başlatan Android, bir uygulamanın yerel olarak güvenli bir şekilde bir parola depolayabilmesini sağlayan KeyChain API'sini sağlar . KeyChain API kullanan uygulamalar nadirdir, ancak stok e-posta uygulaması bunu kullanır (Bu bilgi için @wawa'ya teşekkür ederiz). Böylece şifreniz, ekranınız kilitlendiği sürece stok e-posta uygulamasıyla güvende olacak. Unutmayın, cihaz köklüse ve ICS öncesi cihazlarda mevcut değilse, KeyChain güvenli değildir.

Dahili E-posta uygulamasıyla kullanılan Android şifreleri, bir SQLite Veritabanının içinde düz metin olarak saklanır. Bu, Sachin Sekhar'ın cevabında açıklandığı gibi Auth Tokens kullanan Gmail uygulamasının aksine .

Jelly Bean için veritabanı yeri:

/data/system/users/0/accounts.db

^{Yukarıdaki konum Android sürümüne göre değişir}

Köklü olmayan bir cihazda bu konum, İşletim Sistemi tarafından korunur ve korunur.
Köklü cihazlarda, kullanıcılar teknik olarak kendi güvenliklerini zaten çözmüşlerdir ve düz metin içinde olmasalar bile, anahtarın cihazda bir yerde olması gerektiğinden şifresini çözmek önemsiz olacaktır.

Android Geliştirme Ekibinden bir üye bugüne kadar hala geçerli olduğuna dair bir açıklama yaptı :

Şimdi, bu özel endişe ile ilgili olarak. Açıklığa kavuşturmak için ilk şey, E-posta uygulamasının dört protokolü (POP3, IMAP, SMTP ve Exchange ActiveSync) desteklediği ve çok az, çok sınırlı istisnalar dışında, bunların hepsinin müşterinin şifreyi sunucuya sunmasını gerektiren eski protokoller olduğu. her bağlantıda. Bu protokoller, hesabı cihazda kullanmak istediğiniz sürece şifreyi saklamamızı gerektirir. Daha yeni protokoller bunu yapmaz - bu yüzden bazı makaleler örneğin Gmail’le çelişiyor. Daha yeni protokoller, istemcinin bir belirteç oluşturmak, belirteci kaydetmek ve şifreyi silmek için şifreyi bir kez kullanmasına izin verir.

38 numaralı yorumda yer alan makaleyi , iyi yazılmış ve oldukça bilgilendirici olarak incelemenizi tavsiye ederim . "Gizli" şifreleri ve onları gerçekten "güvenli" yapmak arasındaki farktan çok iyi bir arka plan sağlar. Basitçe (örn base64) şifrenizi engellemeyecek veya olacak başka bir yerde saklanan bir anahtar ile şifreleyerek değil şifrenizi veya veri daha güvenli hale getirmek. Bir saldırgan yine de alabilecek.

(Özellikle, şifreyi açık metin içinde saklamayan diğer e-posta istemcilerinden bazıları hakkında bazı iddialarda bulunulmuştur. Bu doğru olsa bile, şifrenin daha güvenli olduğunu göstermez. Basit bir test: cihazınız yapılandırılmış hesaplarınızda e-posta almaya başlayacak, ardından şifreler tam anlamıyla güvenli değil.

Genelde, bu sorun birçok Android kullanıcısını rahatsız ettiğinden, bu tartışmayı Slashdot - Düz Metin Olarak Saklanan Android Parola Verileri bölümünden de takip edebilirsiniz .