Come viene memorizzata la password di Gmail in Android - e dove?

Mi sono guardato intorno e non ho trovato informazioni su come Android riesca a memorizzare le password sul dispositivo. Soprattutto le password di Gmail. Sto cercando di scoprire come Android crittografa e memorizza le password? Quale chiave utilizza e dove è memorizzata questa chiave e quale algoritmo di crittografia utilizza.

L'app ufficiale di Gmail non memorizza la password nel tuo dispositivo. La tua password è sicura al 100% se usi questa app.

Funziona così: la password viene utilizzata SOLO per la prima volta dai server di autenticazione di Google. Dopo la prima autenticazione corretta, Auth Tokenviene scaricato sul dispositivo che viene archiviato nel accounts.dbfile come testo normale. Per tutti gli accessi successivi, Auth Tokenviene utilizzato, NON la password originale.
Quindi, se il tuo dispositivo viene rubato, tutto ciò che chiunque può ottenere è Auth Tokenche diventa non valido una volta cambiata la password. Quindi, sarai al comando assoluto.
Per la massima sicurezza, ti consiglio di abilitare 2-Factor Authenticatione creare Device Specific Passwordper il tuo dispositivo. Dopo aver perso il dispositivo, tutto ciò che serve è disabilitare quel dispositivo. Non è nemmeno necessario modificare la password principale.

Nota: questi non sono tutti veri se usi app di posta elettronica di terze parti per Gmail Viz. App di posta elettronica, posta K-9 ecc. Il protocollo IMAP o POP richiede una password originale per autenticare gli utenti ogni volta. Pertanto, la password semplice deve essere disponibile per l'app di posta elettronica prima di inviarla al server. Pertanto, la maggior parte delle app di posta elettronica memorizza le password in testo semplice (l'hashing / la crittografia è inutile perché la chiave di hashing / crittografia deve essere archiviata localmente). In questo caso, ti consiglio di abilitare 2-Factor Authenticatione creare Device Specific Passwordper il tuo dispositivo. Dopo aver perso il dispositivo, tutto ciò che serve è disabilitare quel dispositivo.

Aggiornamento:
tecnicamente, è possibile archiviare le password localmente in forma crittografata / con hash senza mantenere la chiave di crittografia / chiave di hashing in testo semplice localmente. Grazie a @JFSebastian per averlo segnalato. Sfortunatamente, tale implementazione per Android non è ancora disponibile. A partire da ICS, Android fornisce l' API KeyChain tramite la quale un'app può archiviare una password localmente in forma sicura. Le app che utilizzano l'API KeyChain sono rare, ma l'app di posta elettronica di riserva lo utilizza (grazie a @wawa per queste informazioni). Quindi, la tua password sarà al sicuro con l'app di posta elettronica di riserva finché lo schermo è bloccato. Ricorda, KeyChain non è sicuro se il dispositivo è rootato e non è disponibile su dispositivi pre-ICS.

Le password Android utilizzate con l'applicazione di posta elettronica integrata sono archiviate in testo normale all'interno di un database SQLite. Ciò è in contrasto con l' applicazione Gmail , che utilizza i token di autenticazione come descritto nella risposta di Sachin Sekhar .

Per Jelly Bean, l'ubicazione del database è:

/data/system/users/0/accounts.db

^{La posizione sopra varia in base alla versione di Android}

Questa posizione su un dispositivo non rootato è protetta e protetta dal sistema operativo.
Sui dispositivi con root, gli utenti hanno già tecnicamente violato la propria sicurezza, e anche se non fosse in testo semplice sarebbe comunque banale decifrare poiché la chiave deve esistere da qualche parte sul dispositivo per farlo.

Un membro del team di sviluppo Android ha pubblicato una spiegazione che fino ad oggi si applica ancora:

Ora, rispetto a questa particolare preoccupazione. La prima cosa da chiarire è che l'app Email supporta quattro protocolli - POP3, IMAP, SMTP e Exchange ActiveSync - e con pochissime eccezioni molto limitate, tutti questi sono protocolli precedenti che richiedono che il client presenti la password al server su ogni connessione. Questi protocolli ci richiedono di conservare la password per tutto il tempo in cui desideri utilizzare l'account sul dispositivo. I protocolli più recenti non lo fanno - ecco perché alcuni articoli sono stati in contrasto con Gmail, ad esempio. I protocolli più recenti consentono al client di utilizzare una volta la password per generare un token, salvarlo e scartare la password.

Vi esorto a rivedere l'articolo collegato al commento # 38 , che è ben scritto e piuttosto informativo. Fornisce un ottimo background sulla differenza tra le password "oscuranti" e le rende veramente "sicure". Semplicemente oscurare la tua password (es. Base64) o crittografarla con una chiave memorizzata altrove non renderà la tua password o i tuoi dati più sicuri. Un attaccante sarà comunque in grado di recuperarlo.

(In particolare, sono state fatte alcune affermazioni su alcuni degli altri client di posta elettronica che non memorizzano la password in chiaro. Anche se ciò è vero, ciò non indica che la password sia più sicura. Un semplice test: se è possibile avviare il dispositivo e inizierà a ricevere e-mail sugli account configurati, quindi le password non sono veramente sicure. Sono offuscate o crittografate con un'altra chiave memorizzata altrove.)

Inoltre, poiché questo problema sembra disturbare molti utenti Android, puoi anche seguire questa discussione su Slashdot - Dati password Android memorizzati in testo semplice .