News

Sicherheitsleck bei Root: S-Memo speichert Google-Passwort in Klartext

Mit dem Galaxy Note führte Samsung auch neue Apps ein, die bis heute kontinuierlich weiterentwickelt wurden. Eine gern und viel genutzte App ist dabei S-Memo, mit der kleine Notizen auf die Schnelle angefertigt werden können. Wenn da eine kleine Sache nicht wäre, die gerooteten Nutzern den Spaß verhageln könnte.

Wenn ein Smartphone oder Tablet mit Android gerootet werden soll, steckt immer eine gewisse Absicht dahinter: Entweder unliebsame Apps des Herstellers loswerden, die wirklich volle Kontrolle über das Gerät zu bekommen oder um einfach spezielle Apps nutzen zu können, die im ungerooteten Zustand schlicht nicht nutzbar sind. AdAway (zum blockieren von Werbebannern in Apps) zum Beispiel oder DroidWall (FrontEnd für die Linux-Funktion iptables). Allerdings bringt der Root-Zugriff auch gewisse Sicherheitsrisiken mit sich, die nicht unter den Teppich gekehrt werden dürfen. Ärgerlich nur, wenn es ausgerechnet eine App des Geräte-Herstellers erwischt, die sich zum Sicherheitsrisiko wandelt.

Genau das ist aktuell der Fall bei Samsungs S-Memo, welches auf den Modellen der Note-Reihe (Note, Note 2 und Note 10.1) sowie dem Galaxy S3 vorinstalliert ist. Spätestens seit dem Jelly-Bean-Update für die genannten Geräte beherrscht die App die Synchronisation mit Google bzw. Google Drive (innerhalb der App noch als Google Docs bezeichnet). Die Krux liegt aber darin, dass bei Root sämtlichste Apps der Partition /system auf die /data-Partition zugreifen können, wo unter anderem das Google-Passwort hinterlegt ist.

 

Gefahren des rootens

Eigentlich ist die Sache nicht weiter problematisch, wenn das Passwort wenigstens verschlüsselt wäre, was es aber nicht. Das Google-Passwort wird in der SQLite-Datenbank von S Memo unverschlüsselt gespeichert, was aber, das muss immer wieder betont werden, nur bei gerooteten Geräten möglich ist. Schon merkwürdig, warum Samsung nicht die OAuth-2.0-Sicherheitsfunktion des Google Drive SDK nutzt, die Google vollkommen kostenfrei zur Verfügung stellt.

Dennoch ist es schon fraglich, wieso ein so großer Konzern wie Samsung derart fahrlässig mit der Sicherheit seiner Apps umgehen kann. Oder liegt die Schuld vielleicht woanders? Sollte man künftig komplett auf Root verzichten, da die Sicherheit gefährdet ist? Oder ist Root zwingend nötig? Wie seht ihr die Sache eigentlich: Grund genug das rooten zu überdenken, macht ihr euch jetzt mehr Gedanken über Sicherheit als vorher oder ist das euch sogar vollkommen egal? Postet eure Meinungen zum Thema in den Kommentaren.

[Quelle: XDA Developers | Tipp von Peter]

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

3 Gedanken zu „Sicherheitsleck bei Root: S-Memo speichert Google-Passwort in Klartext

  • Bernd

    Lieber S Memo entfernen als auf Root zu verzichten.

    Antwort
  • Julian

    Danke für die Info! S memo backup – > deinstalliert. Auf root verzichten? Niemals! Die beste app im market ist lbe! Ohne root ist die so gut wie sinnlos.ich würde auf fast jede Samsung app verzichten, anstatt mein s3 zu unrooten.

    Antwort
    • Läuft dein S3 mit ICS oder schon JB? Kann mich nicht daran erinnern, dass LBE bereits mit JB zusammenspielt. oO

      Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert