В приложении для защиты данных AppLock обнаружены множественные уязвимости

image

Теги: уязвимость, AppLock, персональные данные

Приложение для защиты данных Android-устройств установлено 100 млн пользователей.

ИБ-исследователь Ноам Ратхаус (Noam Rathaus) из Beyond Security обнаружил множественные уязвимости в AppLock, приложении для защиты данных Android-устройств, пользователями которого являются 100 миллионов человек. Эксперт отметил, что приложение AppLock, которое должно надежно хранить важные данные, не использует надлежащие шифрование, а просто скрывает файлы, доступ к которым легко может получить злоумышленник.

По словам Ратхауса, проблемы заключаются в слабых механизмах сброса PIN-кода и блокировки. Эксперт опубликовал технические подробности об уязвимостях, а также пошаговые методы их эксплуатации.

Ратхаус утверждает, что, когда пользователь сохраняет файлы в AppLock, данные на самом деле сохраняются на устройстве в разделе файловой системы для чтения/записи, а не в файловой системе, относящейся непосредственно к приложению. Все, что нужно злоумышленнику, это только установить файловый менеджер, который приведет к определенной базе данных SQLite, а затем к образам.

Еще одна уязвимость связана со слабым механизмом блокировки – злоумышленник с правами суперпользователя может увидеть PIN-код, относящийся к приложению, и изменить его. Данная брешь является наиболее опасной, так как позволяет хакеру получить полный контроль над AppLock. Эксплуатируя уязвимость, злоумышленник может воспользоваться функцией сброса пароля и получить полный доступ ко всем функциональным возможностям приложения без каких-либо специальных разрешений.

Проблема связана с тем, что, в случае, если пользователь не настроил в приложении свою электронную почту, хакер может добавить свою собственную почту для того, чтобы извлечь PIN-код, а затем его переустановить. Даже, если в приложении указана почта пользователя, хакер может воспользоваться Wireshark, перехватить трафик и сбросить пароль удаленно.

Разработчик приложения AppLock компания DoMobile Lab уже проинформирована об уязвимостях, однако в настоящее время неизвестно, когда будет выпущено обновление, исправляющее бреши.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.