Hi Izzy!
Okay, du hast in vielen aufgezählten Punkten natürlich recht. Im Endeffekt war das wohl kein Programmierer der mir die Antwort geschrieben hatte und ich weiß somit nicht, ob K9 das
gesalzene verschlüsselte PW in die SQL schreibt oder das "plain text" Passwort. Und ja, wäre zumindest mal gut zu wissen, wie K9 das jetzt genau speichert.
Nein, ich will nicht meine alten Nokia-Telefone zurück, aber mich regt es schon ziemlich auf, dass
a.) weite Teile der Smartphone-User (und 100 % der Callcenter-Schnepfen) anscheinend garkein Bewusstsein für Datensicherheit haben und
b.) es doch soooooooooooooooooooooooooooooooooooo einfach wäre [Mutmaßung meinerseits], das System ein großes Stück sicherer zu machen - stattdessen werden quasi
per design Löcher eingebaut. Das hat mittlerweile sogar Apple mit iOS und der full-device encryption besser gelöst. ;-)
Was z.B. auch ein guter Sicherheits-Layer wäre, wäre wenn das PW z.B. einfach nur im RAM nicht aber auf dem "festen" Speicher abgespeichert werden würde. Die paar Mal, die ich mein Smartphone im Monat resette, kann ich auch das PW neu eingeben. Zum Zurücksetzen auf Werkseinstellungen oder rooten muss man das Gerät aber zwangsläufig resetten - damit wäre das Passwort weg.
Von super-qualifizierten Angriffen mal abgesehen sollte das für alle anderen eigentlich ein guter Schutz sein....
Im Endeffekt bin ich kein Android-Entwickler, aber das System bzw. die Implementierung auf meinem Sensation weisst doch irgendwie vom Sicherheitsaspekt her definitiv Macken auf.
Bin im Übrigen aber auf das genannte Werk zur Android Forensik gespannt. ;)
— geändert am 13.08.2012, 23:52:18