Hallo,
ich habe nun schon vor vielen Monaten Synology mitgeteilt, dass ich die aktuellen Vorgehensweise, wie Logindaten der Apps auf Android-Smartphones gespeichert werden, für sehr gefährlich halte. Da nun neue App-Versionen veröffentlicht wurden, jedoch noch immer das selbe Problem besteht, wollte ich mal von Euch wissen, was Ihr davon haltet (bzw. überhaupt mal informieren).
Bei den DS-Apps werden alle Zugangsdaten (Serveradresse, Port, Benutzername und Passwort) in Klartext im Verzeichnis /data/data abgespeichert. Wenn man nun ein entsprechendes Smartphone in die Finger bekommt, kann man ohne die geringsten Probleme auf diese Daten zugreifen. Ob das über "bösartige" App übers Internet auch funktionieren würde, weiß ich nicht, da ich mich damit zu wenig auskenne - glaube es aber schon.
Muss aber noch dazu sagen, dass man, soweit ich weiß, auf /data nur bei einem gerootetem Gerät Zugriff hat. Ist aber nicht wirklich ein Argument, da es doch einige User gibt, die ihr Smartphone gerootet haben und zweitens man so ca. jedes Android-Smartphone innerhalb kürzester Zeit nachträglich rooten kann (außer es ist verschlüsselt).
Warum macht Synology sowas, wo doch sonst auf Sicherheit geachtet wird? Besonders da bei Apps wie DSFinder sogar Admin-Account verwendet werden.
ich habe nun schon vor vielen Monaten Synology mitgeteilt, dass ich die aktuellen Vorgehensweise, wie Logindaten der Apps auf Android-Smartphones gespeichert werden, für sehr gefährlich halte. Da nun neue App-Versionen veröffentlicht wurden, jedoch noch immer das selbe Problem besteht, wollte ich mal von Euch wissen, was Ihr davon haltet (bzw. überhaupt mal informieren).
Bei den DS-Apps werden alle Zugangsdaten (Serveradresse, Port, Benutzername und Passwort) in Klartext im Verzeichnis /data/data abgespeichert. Wenn man nun ein entsprechendes Smartphone in die Finger bekommt, kann man ohne die geringsten Probleme auf diese Daten zugreifen. Ob das über "bösartige" App übers Internet auch funktionieren würde, weiß ich nicht, da ich mich damit zu wenig auskenne - glaube es aber schon.
Muss aber noch dazu sagen, dass man, soweit ich weiß, auf /data nur bei einem gerootetem Gerät Zugriff hat. Ist aber nicht wirklich ein Argument, da es doch einige User gibt, die ihr Smartphone gerootet haben und zweitens man so ca. jedes Android-Smartphone innerhalb kürzester Zeit nachträglich rooten kann (außer es ist verschlüsselt).
Warum macht Synology sowas, wo doch sonst auf Sicherheit geachtet wird? Besonders da bei Apps wie DSFinder sogar Admin-Account verwendet werden.
