Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM

Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM w pliku /data/data/pl.wykop.droid/shered_prefs/wykopDroidPrefs.xml Panowie żenada....
- #
- #
- #
- #
- 308
Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM w pliku /data/data/pl.wykop.droid/shered_prefs/wykopDroidPrefs.xml Panowie żenada....
Komentarze (308)
najlepsze
@anonim1133: nie wiedział jak naprawić? ;P
Komentarz usunięty przez moderatora
Niestety zdecydowana większość użytkowników sieci ma te same hasła do wielu stron/usług. Chociażby dlatego jest to wielkim nietaktem, mówiąc bardzo delikatnie.
Laptop: http://i.imgur.com/1E6C4.jpg
LCD: http://i.imgur.com/Qahzb.jpg
Ramka od LCD jest taka sama jak przy lapku (tylko na laptopie trochę krzywo nakeliłem). Karteczka na zdjęciu jest sporo większa od "klasycznej" żółtej karteczki, ale tylko ona była przyklejona do monitora, więc była pod ręką.
Oczywiste jest, że w typowej sytuacji nie jest możliwe zapisanie hasła tak, aby aplikacja mogła się nim logować, a ktoś z dostępem do niego - nie. Jeśli ktoś wykradnie nasz plik, to na pewno będzie w stanie korzystać z naszego konta. Jednak:
1.
To teraz zajrzyj do zaciemnianego kodu przykładowego Google Maps i powtórz to samo stwierdzenie ;-)
Poza tym klucz nie musi się znajdować w kodzie, nie musi być stały dla każdego użytkownika. Może być np. generowany losowo przy pierwszym starcie aplikacji i przekazywany serwerowi. Oczywiście jeśli otrzyma się pełny dostęp do urządzenia, to i tak będzie możliwe wyśledzenie, co i jak oraz wykradnięcie klucza, ale będzie to wymagało nieporównywalnie więcej poświęconego
Tak. Więc na grzebaniu w cudzych aplikacjach oraz łamaniu zabezpieczeń się co nieco znam ;-) Kiedyś na XDA ktoś zapytał, jak się dostać do stanu gry Angry Birds Rio, gdyż zastosowali właśnie szyfrowanie AES stałym kluczem zawartym w kodzie aplikacji. Dałem radę wyekstraktować ten klucz oraz algorytm szyftowania, choć zajęło mi to bite 2 dni :-)
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Tak wszędzie węszę spiski.
Tutaj mamy telefon użytkownika, w dodatku plik znajduje się poza ogólnie dostępnym rejonem (trzeba zrootować). Trzymanie hasła w ten sposób jest jak najbardziej odpowiednim rozwiązaniem.
Bawienie się w jakieś
Oczywiście, że SĄ inne opcje. Aplikacja wykopu to nie przeglądarka internetowa tylko ich autorska apka więc wystarczy aby serwer po udanej autoryzacji generował hasło aplikacji i ono byłoby trzymane zamiast tego właściwego. Zaleta jest taka, że hasło użytkownika może pasować też do innych serwisów np poczty i kiedy zostanie wykradzione można narobić komuś burdelu. Poza tym uniemożliwi to zmianę hasła do konta jeżeli