Android-wachtwoorden liggen te grabbel
De beveiliging van Androidtelefoons blijkt een lachertje. Een hacker heeft ontdekt dat de wachtwoorden gewoon onversleuteld opgeslagen worden.
Android slaat het wachtwoord voor e-mailaccounts op in een SQLite-databank die onversleuteld in het geheugen van de telefoon terechtkomt. De hacker suggereert dat het misschien toch een beter idee is om de wachtwoorden te encrypteren of toch om te vormen.
‘Versleutelen geen oplossing’
De hacker heeft het probleem voorgelegd aan de helpdesk van Android en kreeg een uitgebreid antwoord. Andy Stadler van Android legt in de mail uit dat Android vier e-mailprotocols ondersteunt: POP3, IMAP, SMTP en Exchange ActiveSync. Al die protocols vereisen elke keer dat je verbinding maakt een wachtwoord.
[related_article id=”161920″]
Android moet dus wel de wachtwoorden ergens opslaan, argumenteert Stadler. En het is geen oplossing om het wachtwoord te versleutelen. Je moet de sleutel immers ook nog elders op de telefoon opslaan. Hackers kunnen het wachtwoord dan alsnog te pakken krijgen.
Betere beveiliging
Nieuwere e-mailprotocols hebben dit probleem niet. Ze slaan immers geen wachtwoord op, maar vragen een token aan, een code die voor een beperkte tijd toegang geeft tot de mailbox. Met deze werkwijze hoeft het wachtwoord niet opgeslagen te blijven.
Ondanks alle bezwaren die de Androidmedewerker aanhaalt, blijft het probleem toch op de agenda staan. Andy Stadler belooft dat de Androidmedewerkers blijven zoeken naar oplossingen om gegevens beter beveiligd te maken.
