it-swarm.dev

La password di Gmail può essere recuperata dall'app Android Gmail?

Ho un Android con l'app Gmail installata. Questa app può accedere alla casella di posta quindi ci devono essere alcuni tipi di dati di autenticazione memorizzati sul dispositivo (possibilmente una password specifica dell'applicazione?).

Esiste un modo per utilizzare l'app Gmail installata per recuperare/reimpostare la password per l'account Google associato o impostare la domanda di sicurezza/il numero di telefono ad esso associato?

Più in generale, l'app Gmail fornisce il controllo completo sull'account o consente solo di ricevere e inviare e-mail tramite l'account?

13
buherator

Ci sono alcune informazioni su questa pagina e puoi leggere anche quella pagina se ti piace l'atmosfera simile allo zoo di trovare alcune gemme di informazioni in mezzo a tutte le scimmie che urlano.

Di conseguenza, per l'accesso a Gmail in particolare, l'app utilizza la password alla prima connessione per ottenere un valore token specifico; pensalo come una sotto password generata casualmente. Il valore del token è sufficiente per leggere le e-mail in arrivo, inviare e-mail e modificare la cassetta postale. Tuttavia, non dà alcun potere al di là di queste operazioni, quindi conoscere il valore del token non ti dà accesso alla password effettiva o ad altri siti Google (come Google+). L'app memorizza il valore del token, non la password dell'utente.

Quindi questo risponde alla tua domanda: se qualcuno ruba o sovverte il tuo smartphone, può ottenere il valore del token che consente l'accesso alle tue e-mail, ma non sarà in grado di recuperare o reimpostare la tua password o accedere a qualsiasi altro servizio collegato con la tua password . Naturalmente, si applicano alcune avvertenze:

  • Qualcuno che controlla le tue e-mail può quindi sfruttarlo per attaccare tutti i sistemi che utilizzano un sistema di recupero password basato su e-mail. Molti siti implementano una funzione "password dimenticata" in cui un token di reimpostazione della password (ad esempio, URL) viene inviato tramite e-mail. Ottenere l'accesso alle tue e-mail equivale a rubare del tutto la tua vita su Internet.

  • Un utente malintenzionato che potrebbe sovvertire il telefono abbastanza da leggere l'archivio dati privato dell'app Gmail è molto probabilmente in grado di impiantare un registratore di chiavi/schermate e ottenere la password effettiva la prossima volta che la digiti.

18
Thomas Pornin