Toggle sidebar

Sicherheitsproblem bei Android App - Passwort Klartext

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
K

Klanda

Benutzer
Registriert
19. Jan. 2012
Beiträge
160
Reaktionspunkte
3
Punkte
18
Hallo,

ich habe nun schon vor vielen Monaten Synology mitgeteilt, dass ich die aktuellen Vorgehensweise, wie Logindaten der Apps auf Android-Smartphones gespeichert werden, für sehr gefährlich halte. Da nun neue App-Versionen veröffentlicht wurden, jedoch noch immer das selbe Problem besteht, wollte ich mal von Euch wissen, was Ihr davon haltet (bzw. überhaupt mal informieren).

Bei den DS-Apps werden alle Zugangsdaten (Serveradresse, Port, Benutzername und Passwort) in Klartext im Verzeichnis /data/data abgespeichert. Wenn man nun ein entsprechendes Smartphone in die Finger bekommt, kann man ohne die geringsten Probleme auf diese Daten zugreifen. Ob das über "bösartige" App übers Internet auch funktionieren würde, weiß ich nicht, da ich mich damit zu wenig auskenne - glaube es aber schon.
Muss aber noch dazu sagen, dass man, soweit ich weiß, auf /data nur bei einem gerootetem Gerät Zugriff hat. Ist aber nicht wirklich ein Argument, da es doch einige User gibt, die ihr Smartphone gerootet haben und zweitens man so ca. jedes Android-Smartphone innerhalb kürzester Zeit nachträglich rooten kann (außer es ist verschlüsselt).

Warum macht Synology sowas, wo doch sonst auf Sicherheit geachtet wird? Besonders da bei Apps wie DSFinder sogar Admin-Account verwendet werden.
 
das einzige was Syno machen könnte wäre es ein vom User festzulegendes Masterpasswort einzuführen. Damit könnten dann die Konfigfiles verschlüsselt werden. Mach einen Feature Request an Synology :-)
 
Ok, verstehe. Danke.

Finde es aber schon etwas erschreckend, wie einfach man an diese Daten kommt...
 
Hi zusammen,

ich finde das auch nicht so prall.
Eigentlich sollten doch nirgendwo Passwörter im Klartext gespeichert werden, sondern als gesalzener Hashwert.
http://de.wikipedia.org/wiki/Salt_(Kryptologie)
In letzter Zeit sind ja genug Passwort Datenbanken gehackt worden, das das Thema bei den Programmieren bekannt sein sollte.

Ich werde wohl für die DSPhoto und DSAudio die ich benutze neue Benutzer anlegen, damit nicht noch andere Dienste evtl. kompromittiert werden.
Bei allen die keine SSL Verschlüsselung benutzen ist es wahrscheinlich sowieso egal da das Passwort dann auch im Klartext durch das Internet rauscht.

Wenn ich so über die Sicherheit von meinem Android nachdenke wird mir sowieso ganz anders.
Soviel persönliche Daten auf einem Haufen und so wenig Konzepte zu Sicherheit.
Ich habe gestern noch darüber nachgedacht den Radius Server auf der DS zu aktivieren, nachdem ich gelesen habe das Android ja schön die WPA Passwörter zu Google schickt, das die im Klartext in jedem OS rumliegen wusste ich schon, aber da habe ich noch kein Schreckens Szenario vor Augen gehabt.

BF
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten