Android 端末では電子メールのパスワードが平文で保存されている。
2011年7月26日 10:30
ある Anonymous Coward 曰く、
Android 端末ではパスワードが平文保存されているそうだ (The Hacker News の記事、本家 /. 記事より) 。
元記事によると、Android 端末では電子メールアカウントのパスワードは SQLite データベースに保存されることとなっており、最終的には端末のファイルシステムにテキストデータとしてこの情報が保存されているという。記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、Android のサポートフォーラムでは「サポートされている POP3 や IMAP、SMTP、そして Exchange Active Sync などのより古いプロトコルは接続時に毎回クライアントからのパスワード提示を求めるものである。これらのプロトコルは端末でそのアカウントを利用する限り端末でパスワードを保持し続ける」として、パスワードを 1 回だけ使いトークンを生成するタイプの新しいプロトコルとの違いを説明し、単に暗号化して端末に保存するだけでは「安全」を実現することは出来ないと指摘している。
フォーラムではまた、もし「/data/data/*」から任意のデータを取得できるとすれば、それは電子メールプログラムのバグではなく、端末のセキュリティ上の問題であるとも指摘している。なお、Android サポートではユーザからの関心や懸念に考慮して、このバグレポートをクローズしないとのことで、データをの安全性をより向上させる手法を検討するとも述べている。
スラッシュドットのコメントを読む | セキュリティ | Android