EN

Samsung Galaxy S3 ukladá heslá do obyčajného textu

V dnešnej pretechnizovanej dobe kde si potrebujeme chrániť svoje dáta množstvom hesiel či inými prostriedkami by každý čakal, že výrobcovia zariadení budú používať prepracované metódy ochrany dát užívateľa.

No ak si to niekto myslí, že je to tak, je na omyle, pretože Samsung zlyhal v tomto ako by asi nikto nečakal. Samsung používa aplikáciu s názvom S-Memo, ktorá ukladá heslá do obyčajného textu. Žiadne kódovanie nečakajte. Hocikto kto vie kde hľadať textový súbor s heslami ich bude mať ako na dlani a bez námahy. Pokiaľ máte Android s root hackom, nadobúdate práva super užívateľa podobne ako v Linuxe čo znamená, že máte plný prístup ku každému súboru v telefóne. Súbory S-Memo SQLite sú prístupné len užívateľom s root prístupom.


Ak už máte prístup k súboru, dostanete z neho čo len chcete. Naštastie sa to dotklo len malej skupiny užívateľov, lenže ukázalo sa ako sa dajú ľahko získať citlivé informácie zo Samsung Galaxy S3. Root hack trvá približne päť minút a získanie hesiel len na šikovnosti človeka.

Zdroj: geek.com

Komentáre (20)
insomniac
gratulujem, Ľuboš Fojtík, ste na dobrej ceste ako sa prepracovať do dôveryhodných magazínov ako (l)živé.sk či Nový čas! čo sa to tu s pc.sk deje?! odkedy to spadá po zoznam tak je to hnus, fuj a děs! aby som uviedol veci na správnu mieru, aplikácia S-Memo je poznámkovač, nie správca hesiel. možno v nej vytvárať jednoduché textové súbory a obrázky - skice - náčrty. prečo tu z toho robíte takú vedu, keď to vôbec nie je aplikácia, ktorá je určená na ukladanie a správu hesiel? jasné, že všetok text je ukladaný ako text a teda to textového súboru, nakoľko nie je potrebné to nijako heslovať, respektíve S-Memo, opakujem, je jednoduchý poznámkovací nástroj a nie password vault či nejako tak. vo windowse poznámkový blok vari kryptuje znaky? nie. S3-ku mám a túto aplikáciu denne používam. prakticky tam možnosť uložiť nejaké užívateľské heslo ani nie je, pretože to je, po tretíkrát zopakujem, obyčajná aplikácia na poznámkovanie
schyzoy
Autor clanku nepise, ze S-memo je systemovy program na ukladanie hesiel (alebo "virus vault" ak chcete). Pise, ze S3 pouziva prave tuto aplikaciu na ukladanie hesiel do obycajneho textoveho suboru, ibaze ten subor "schova" tak, aby sa akoze nedal najst. Ak ide o kacicu iba prevzatu z geek.com, je to smutne. Ak je to pravda, je to este smutnejsie :-)
insomniac
Chlape, program na skladovanie hesiel a virus vault ... nepletie sa ti náhodou niečo? Autor píše, citujem: "Samsung používa aplikáciu s názvom S-Memo, ktorá ukladá heslá do obyčajného textu." Ostatné je vata, vata a ešte raz vata. Výpovedná hodnota tohto strohého pseudočlánku je žalostná a postavená práve na tejto jednej citovanej vete. K tomu bulvárny a prekrútený titulok a sme doma. Bravo, pc.sk, či už vlastne zoznam.sk? Ale rozoberme tú vetu, ktorú som citoval. Čo z nej vyplýva? V podstate nič podstatné. S-Memo je pomerne primitívna aplikácia, ktorá všetok text, teda povedzme aj nejaké heslá, ktoré si tam užívateľ vie napísať, len uskladní vo forme plain textu pre budúce úpravy či zobrazenia. S-Memo nebola vyvíjaná pre účely skladovania a kryptovania hesiel, ale iba ako stupídny poznámkový blok, ktorý má rozšírenú funkcionalitu o ukladanie náčrtov /skic do obrazového formátu. Čiže keď si túto aplikáciu niekto pomýli s trezorom na heslá a začne si tam ukladať heslá a čuduje sa, že nie sú nijako kryptované, tak to, žiaľ, nie je chyba Samsungu. Aplikácia pracuje so všetkými textovými dátami rovnocenne a teda ich uskladňuje ako text. Je teda nemiestne sťažovať sa na niečo, na čo daná aplikácia nebola určená. A ďalšia vec, každý non-BFU by si na skladovanie hesiel splašil nejakú aplikáciu na to určenú a nie si prihlasovacie heslá ukladať do TXT-čka (plain textu) a ešte sa čudovať, že ten dokument nie je kryptovaný ...
schyzoy
pardon, myslel som "password vault"...
denial
z povodneho fora sa tu vytratili nejake dolezite informacie http://forum.xda-developers.com/showthread.php?t=1983672 jeden tam pise, ze v tom S-Memo programe, resp. jeho sql lite databaze nasiel plain text meno a heslo pre jeho GOOGLE ACCOUNT dalsi to tam pozeral a ten to na svojom telefone nenasiel -- informacia, zeby s-memo pouzivali na spravovanie hesiel je uplne mimo
prudak
Kľud. :) nehádajte sa tu pre jednu novinku. Ste ako malé deti :)
insomniac
tu nejde iba o túto novinku. behom týždňa 2-3 bulvárne pseudočlánky? na pc.sk som chodil práve preto, že to bol objektívny spravodaj o hlavne držal sa faktov robte s tým niečo, nieže sa z pc.sk stane pctuning.cz :-(
Broslowski
Ukáž mi tie bulvárne pseudočlánky prosím lebo ich akosi neviem vyhľadať. Prečo by sa také niečo malo stať? Prečo je náš spravodaj neobjektívny? Len sa hneváš no dôkaz nemáš :p
insomniac
s tými dôkazmi by som si na tvojom mieste nebol až taký istý. v priebehu týždňa, to jest siedmich dní, sa tu objavili dva články, ktoré mne a istotne aj mnohým iným čitateľom nejako nesadli do šatu tvorby pc.sk. jeden z nich je tento tu, v ktorého diskusii sa práve bavíme a druhý sedem dní dozadu http://pc.zoznam.sk/novinka/nastupca-megauploadu-zablokovany-este-pred-svojim-spustenim. ten spred týždňa, to bol ale nechutne bulvarizovaný titulok a všimli si to aj iní čitatelia, viď komentáre pod tým článkom, no a tento článok je tiež riadne pritiahnutý za uši. nechcem zdrbávať autora, hoci by sa patrilo, ale prečo si preboha vybral ako novinku takúto neoverenú hovadinu? a z nadpisu samozrejme hneď niekto vyčíta, že S3 je šajs a podobne, pričom tú aplikáciu S-Memo má v sebe viacero telefónov od Samsungu, nielen S3. a druhá vec, že daná aplikácia vôbec nie je určená na skladovanie hesiel a kryptáž. dám krk za to, že autor nemal ani v r*ti si to niekde overiť predtým, než to sem vypľuje a nakydá na Samsung. to je ako kydať na uhlovú brúsku ("flexku") preto, že s ňou neodpílim strom do piatich minút. s tou neobjektivitou, dobre, to beriem späť, ale na tie fakty fakt pozor. robiť redaktora to nie je len nájsť na konkurenčom webe dajakú nepodloženú správu, preložiť ju, prekomoliť a streliť ju sem. spravodaje, a vážené spravodaje (s dobrou povesťou) by si mali teda dávať extra bacha na to, čo nakoniec vypustia von.
AmOK
Suhlasim. Vacsina noviniek je v pohode, obcas je to ale fakt bulvar, alebo nepresne formulovane informacie v clanku, pripadne uz aj v nadpise novinky. http://pc.zoznam.sk/novinka/jachta-steva-jobsa-dokoncena http://pc.zoznam.sk/novinka/prieskum-spolahlivosti-vyrobcov http://pc.zoznam.sk/novinka/amd-vyvija-lacnejsi-8-jadrovy-procesor 1. Fakt netusim koho zaujima jachta toho neboztika. 2.Prieskum spolahlivosti dokazal to iste, co Analyza od Slobodnej Europy.. 3. AMD stale nieco vyvija, ale urcite nie spominany procesor. Nie som redaktor, ale titulka "AMD planuje uviest do predaja..." by mi prisla normalna, akurat asi tak bulvarne neznie... Autor sa uplne zabil poslednymi dvoma vetami: "Zníženie spotreby sa teda podpísalo na znížení výkonu ale nie radikálne. Na architektúre sa nič nemení, je to ďalší procesor pre socket AM3+." Jadro to iste, takty znizene = vykon znizeny. Fakt si autor mysli, ze ten cpu AMD vyvija? AMD ten cpu nemusi ani testovat! Len sa niekto pozrie do tabuliek merani. Takyto clanok sa da napisat o kazdom jednom odskalovanom procesore, ktory predava AMD, alebo Intel a je zalozene na rovnakom jadre. Nastastie tie chystane procaky pred uvedenim do predaja zverejnuje clovek, ktory sa viac vyzna..
Broslowski
Neuveril by si, ale jachta nebostika zaujmala cca 20 600 ludi :)
AmOK
Hej, aj ja som medzi tymi, co na tu novinku klikli a nesmierne ma nasr... Pardon, zaujala. Asi tak, pan sociolog... ;-) Ked sem drbnete babu s vyvalenymi ceckami, budete mat este vacsi uspech, ale potom zmente aj nazov webu... Vies ako sa nasej druznej a konstruktivnej debate odborne hovori? Demagogia.
insomniac
ani sa nečudujem, veď to bolo cieľom, nie? (priživiť sa na známom mene a pozdvihnúť si čítanosť) pretože s počítačmi tá správa nemala absolútne nič spoločné. ešte kebyže ste uviedli, že palubný počítač jachty poháňa iOS 6 so sto jadrami, tera RAM, tak dobre, dajme tomu, že to patrí na tento portál, ale takto to fakt bolo len pre jednu vec - čítanosť.
gammaray
AmoK a Insomniac, keby ste mali aspon o koliecko naviac tak by vam doslo ze keby nebola citanost nieje ani ziadne pc.sk a pretaktovanie.sk. A ked sa vam nepaci nemusite to tu citat. Chodte si kludne inde. Nikto vas nedrzi tu. Spravte si vlastny web a financujte ho a potom mozte chodit po weboch a kritizovat za clanky. Ked pride na kritizovanie kazdy ma velku hubu ale nieco vlastne spravit a financovat to a starat sa o to, nula bodov. Kritizovat to vie kazdy.
insomniac
"A ked sa vam nepaci, nemusite to tu citat. Chodte si kludne inde." zabité. toto by som čakal od puberťáka, nie od dospelého človeka a už vôbec nie od redaktora. tvoj šéf musí byť na teba hrdý raz za čas vás fakt že niekto oprávnene spindá za článok a ešte vám tu aj napíše polopatistický návod, ako sa daných chýb v budúcnosti vyvarovať. myslíte si, že my si nejako honíme ego na tom, že vás zdrbávame? chceme vás len usmerniť, koniec koncov, aj vy ste omylný a ste len ľudia. tak prečo nie ste ochotní prijať štipku opodstatnej kritiky a priznať si aspoň raz svoje pochybenie? už len čakám na to, že tu tieto komentáre začnete mazať. veď aj na to príde, nie? ako za socíku! prakticky to asi nie je možné, ale keby sa teoreticky teraz spratali všetci vaši čitatelia, bolo by po vašom švárnom neobulvárnom pc.sk. nezabúdajte teda, že váš portál je závislý od čitateľov, nie naopak. práve preto by ste sa s tou kritikou mali skutočne vedieť popasovať a niečo si z nej vziať. na gramatické, štylistické a interpunkčné chyby sme si už ako čitatelia pc.sk zvykli, ale PC bulvár? ďakujeme, neprosíme dobrý redaktor si má vážiť každého čítateľa. ale tu? "A ked sa vam nepaci nemusite to tu citat. Chodte si kludne inde."
andrejsvk
tak tak, chceme nebulvarne pc.sk, keby ze chceme bulvar, tak mame na vyber habadej, napr pctuning par krat clovek klikne zo zvedavosti na clanok s bulvarnym nazvom, no casom ho to prestane bavit
schyzoy
Pan insomniac, s kritikou clanku slobodno, len pozor na tu vasu kritiku gramatiky, citujem: "...aj vy ste omylný a ste len ľudia" Inak v dnesnej dobe by som gramatiku nekritizoval, ani nespominal, pretoze sa to prihodi kazdemu. Samozrejme ked na niektorych forach citam napr. "dnes sme boly s kamosmy na lygovom zapase, skoro my ocy vipadly", tak to je uz riadna bieda :-)
insomniac
jejda, to som si zavaril, N pl. = í chybu priznávam, kritiku prijímam (na rozdiel od niekoho)
icefire
Uff, tak tato reakcia to zaklincovala. Ziadny clovek, ktoremu na jeho robote zalezi, by nemal takto reagovat. Je to pod uroven a urazajuce. Gamma, co taky PR training?
Stanley
Myslim, ze AmoK a Insomniac maju koliesok akurat. Aj ja som sa zoparkrat pozastavil nad kvalitou niektorych clankov. Mozno je niekedy menej aj viac. Ja by som napr. minimalne z nadpisu tohto clanku teraz podlahol totalnej panike, ze sa mi niekto dostane k mojim heslam v telefone. Co samozrejme nie je pravda... Co tak dat nadpis "Poznamkovaci program S-Memo pre Galaxy S3 uklada hesla ako text." ???? Menej bulvar, viac fakty. Staci malo. Vsio jasno!!!
Pridať nový komentár
TOPlist