Android-systemet CyanogenMod logger brugernes adgangskode

Illustration: Android Logo
Det populære Android-alternativ CyanogenMod aflurer det mønster, der bliver brugt til at logge ind. Nu bliver funktionen fjernet.

Millioner af Android-brugere har skiftet Googles og producenternes fortolkning af Android ud med open-source-alternativet CyanogenMod.

Men også her kan der være overraskelser. Det viser sig nemlig nu, at seneste CyanogenMod-version fik tilføjet en funktion, som gemte det mønster, brugeren låste telefonen op med. Det skriver Ars Technica.

Funktionen blev opdaget af CyanogenMod-udvikler Gabriel Castro, som er overrasket over, at ingen andre har opdaget problemet før. Det skriver han i en besked om logningen på CyanogenMod-projektets Github-side.

En enkelt kodelinje sørger for at gemme mønsteret lokalt i en log-fil, hvilket i sig selv ikke er katastrofalt, men generelt er dårlig praksis. Skulle en hacker bruger log-filen til noget, kræver det adgang til telefonens filer eller til en backup af telefon på en computer.

Logningen blev indført i august, vurderer Gabriel Castro, samtidigt med en forbedring af CyanogenMods login-med-mønster-funktion. Linjen kan slettes, uden problemer, eller laves om til en kommentar, skriver han.

Og fra officielt CyanogenMod-hold er en opdatering på vej, hvor funktionen bliver fjernet. Foreløbigt er den nået til nightly build-status.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jens Schumacher

Så hvad??? Det er releaset med logning i en stabil version???? Eller har der bare været logning på trunk i en periode?

Jeg ved godt at mange instalerer nightly builds af open source ting fordi de bare skal haaaaaa og helst inden blækket er tørt... men så må man sku også ta det sure med det søde.

  • 5
  • 0
#3 Klaus Skelbæk Madsen

Så vidt jeg ved, så havner outputtet fra Log.v og venner ikke i en fil. Det ender derimod i en cyklisk RAM-buffer som så kan aflæses.

Dvs. en backup af telefonen giver dig ikke mønstret fra loggen (at det er nødt til at være gemt i indstillingerne på en eller anden måde, så det kan læses fra backupen alligevel er en anden ting).

Risikoen ved at det ryger i loggen, er at andre applikationer kan læse det, hvis altså de har rettigheder til at læse fra loggen. Derudover kan loggen læses af en PC, hvis telefonen har slået USB debugging til.

Så alt i alt ikke den store risiko.

  • 11
  • 0
Log ind eller Opret konto for at kommentere