J'ai un Android avec l'application Gmail installée. Cette application peut accéder à la boîte aux lettres, donc il doit y avoir une sorte de données d'authentification stockées sur l'appareil (éventuellement un mot de passe spécifique à l'application?).
Existe-t-il un moyen d'utiliser l'application Gmail installée pour récupérer/réinitialiser le mot de passe du compte Google associé ou définir la question de sécurité/le numéro de téléphone qui lui est associé?
Plus généralement, l'application Gmail offre-t-elle un contrôle total sur le compte, ou permet-elle uniquement de recevoir et d'envoyer des e-mails via le compte?
Il y a des informations sur cette page et vous pouvez lire cette page aussi si vous aimez l'ambiance de zoo de trouver quelques joyaux d'informations au milieu de tous les cris de singe.
En résumé, pour accéder spécifiquement à Gmail, l'application utilise le mot de passe lors de la première connexion, pour obtenir une valeur de jeton spécifique; pensez-y comme un sous-mot de passe généré aléatoirement. La valeur du jeton est suffisante pour lire les e-mails entrants, envoyer des e-mails et modifier la boîte aux lettres. Cependant, cela ne donne aucun pouvoir au-delà de ces opérations, donc connaître la valeur du jeton ne vous donne pas accès au mot de passe réel ou à d'autres sites Google (comme Google+). L'application stocke la valeur du jeton, pas le mot de passe utilisateur.
Cela répond donc à votre question: si quelqu'un vole ou subvertit votre smartphone, il peut obtenir la valeur du jeton qui donne accès à vos e-mails, mais il ne pourra pas récupérer ou réinitialiser votre mot de passe, ou accéder à tout autre service lié à votre mot de passe . Bien sûr, quelques mises en garde s'appliquent:
Une personne qui contrôle vos e-mails peut ensuite en tirer parti pour attaquer tous les systèmes qui utilisent un système de récupération de mot de passe basé sur l'e-mail. De nombreux sites mettent en œuvre une fonction de "mot de passe oublié" dans laquelle un jeton de réinitialisation de mot de passe (par exemple, une URL) est envoyé par e-mail. Accéder à vos e-mails équivaut à voler votre vie sur Internet.
Un attaquant qui pourrait suffisamment subvertir votre téléphone pour lire le stockage de données privé de l'application Gmail est très probablement en mesure de planter un enregistreur de touches/écran et d'obtenir votre mot de passe réel la prochaine fois que vous le taperez.