Множественные уязвимости в приложении AppLock


Beyond SecurityИсследователи из Beyond Security выявили множественные уязвимости в AppLock - приложении, которое предназначено для защиты данных Android-устройств. Стоит отметить, что последних уже более 100 миллионов человек. Эксперты утверждают, что приложение AppLock, предназначенное для надежной защиты важных данных, не использует надлежащие шифрование, а всего лишь скрывает файлы, доступ к которым легко может получить злоумышленник.

Здесь проблемы заключаются в слабых механизмах сброса PIN-кода и блокировки. Подтверждением этому служат опубликованные технические подробности об уязвимостях и пошаговые методы их эксплуатации.

Эксперты рассказывают, что при сохранении пользователем файлов в AppLock, на самом деле данные сохраняются на устройстве в разделе файловой системы для чтения/записи, а не в файловой системе, относящейся непосредственно к приложению. Злоумышленнику достаточно установить файловый менеджер, который приведет к определенной базе данных SQLite, а затем к образам.

Следующая уязвимость связана со слабым механизмом блокировки. Так, злоумышленник с правами суперпользователя может увидеть PIN-код, относящийся к приложению, и изменить его. Данная брешь представляет наибольшую опасность, так как позволяет хакеру получить полный контроль над AppLock. При эксплуатации данной уязвимости, злоумышленник может воспользоваться функцией сброса пароля и получить полный доступ ко всем функциональным возможностям приложения без каких-либо специальных разрешений.

Проблема связана с тем, что, если пользователь не настроил в приложении свою электронную почту, тогда хакер может добавить свою собственную почту, чтобы извлечь PIN-код, а затем его переустановить. Да и если в приложении указана почта пользователя, то хакер все равно воспользовавшись Wireshark сможет перехватить трафик и сбросить пароль удаленно.

И хотя разработчик приложения AppLock компания DoMobile Lab уже проинформирована об уязвимостях, в настоящее время неизвестно, когда будет выпущено обновление, исправляющее бреши.


Обновлено (04.09.2015 18:39)