Η εφαρμογή AppLock Android είναι άχρηστη σύμφωνα με την γνώμη των ειδικών ασφαλείας – Η εφαρμογή App locking αποτυγχάνει να ασφαλίζει τον εαυτό του από τους hackers
H εφαρμογή για Android AppLock χρησιμοποιείται από εκατομμύρια χρηστών για να μπλοκάρουν την πρόσβαση σε διάφορες λειτουργίες του τηλεφώνου τους αλλά η εφαρμογή μαστίζεται από τρεις σοβαρές ελλείψεις, όπως αναφέρει ο Noam Rathaus, ο CTO της Beyond Security.
Το AppLock, μια εφαρμογή που αναπτύχθηκε από την εταιρεία DoMobile που εδρεύει στο Honk Kong, είναι ένα mobile application που χρησιμοποιείται από περισσότερους από 100 εκατομμύρια χρήστες σε περισσότερες από 50 χώρες, και μπορεί να χρησιμοποιηθεί για να εμποδίσει την πρόσβαση στα SMS μηνύματα ενός τηλεφώνου, στις επαφές, στο Gmail, στο Facebook, στη γκαλερί εικόνων, στις ρυθμίσεις , στις κλήσεις και οποιοδήποτε άλλο app εγκατασταθεί από τον χρήστη στο Android smartphone.
Σύμφωνα με τον κ Rathaus, το AppLock μαστίζεται από τρεις ευπάθειες που εκθέτουν τα δεδομένα του χρήστη, παρά το γεγονός ότι το κλείδωμα της εφαρμογής είναι ένας κωδικός PIN.
Το AppLock PIN μπορεί εύκολα να αλλάξει
Το πιο κρίσιμο από όλα είναι ένα bug μέσω του οποίου μπορεί να παρακαμφθεί το ΡΙΝ, και το οποίο μπορεί να χρησιμοποιηθεί χωρίς να χρειάζεται root permission στη συσκευή. Αυτή η ευπάθεια εκδηλώνεται μέσα από έναν αδύναμο μηχανισμό PIN reset, ο οποίος επιτρέπει στους επιτιθέμενους να υποκλέψει HTTP requests and responses, όταν ο χρήστης προσπαθεί να ανακτήσει έναν χαμένο κωδικό PIN.
Τα Pins μπορούν να αφαιρεθούν ή να προστεθούν σε άλλες εφαρμογές από οποιονδήποτε ‘έξυπνο’ εισβολέα
Το δεύτερο θέμα ευπάθειας υπόκειται στην έλλειψη κρυπτογράφησης που χρησιμοποιείται για την αποθήκευση της θέσης των κλειδωμένων αρχείων, τα οποία μπορούν εύκολα να ανακαλυφθούν μέσω sniffing γύρω από το εσωτερικό της SQLite database του AppLock.
Όπως και η πρώτη, αυτή η ευπάθεια δεν χρειάζεται root access, και επιτρέπει σε κάθε κακόβουλο χάκερ να αποκτήσει εύκολη πρόσβαση σε κλειδωμένα αρχεία.
Για την τρίτη ευπάθεια απαιτείται root access, έτσι υπάρχουν λιγότερες πιθανότητες να γίνει αντικείμενο εκμετάλλευσης, αλλά όταν συμβει αυτό, οι επιτιθέμενοι μπορούν να αλλάξουν τον κωδικό PIN, να αφαιρέσουν το PIN από τις τρέχουσες εφαρμογές, ακόμα και να προσθέσουν σε άλλες, κλειδώνοντας επί της ουσίας τον χρήστη έξω από τα ίδια του τα αρχεία.
Όλες οι ευπάθειες του AppLock ανακαλύφθηκαν αυτό το καλοκαίρι, και ο πάροχος ενημερώθηκε αμέσως. Δυστυχώς, ο κ Rathaus αναφέρει ότι η DoMobile σταμάτησε όλες τις επικοινωνίες αφού ενημερώθηκε για τα ελαττώματα στις 31 Ιουλίου.
Δεδομένου ότι η εφαρμογή αυτή ενημερώθηκε τελευταία φορά τέσσερις ημέρες νωρίτερα, μετά την αναμονή ενός μήνα, αποφάσισε να αποκαλύψει τα ευρήματά του επειδή αισθάνθηκε ότι ο developer δίνει στους χρήστες “μια ψευδή αίσθηση ασφάλειας.”
