Fallos en APPLOCK, aplicacion de bloqueo para Android, que se ha distribuido a mas de 100 millones de usuarios

Publicado el 4 septiembre 2015 ¬ 9:49 amh.mscComentarios desactivados en Fallos en APPLOCK, aplicacion de bloqueo para Android, que se ha distribuido a mas de 100 millones de usuarios

Existen múltiples fallas en AppLock, una popular aplicación de bloqueo para dispositivos Android que se ha distribuido a más de 100 millones de usuarios.

Un investigador de seguridad dice que la aplicación, la cual supuestamente almacena fotos, videos y otras aplicaciones de forma “segura”, realmente no utiliza cifrado para hacerlo, simplemente esconde los archivos en otra ubicación dentro del teléfono, donde es posible que un atacante pueda leerlas.

Según Noam Rathaus, un investigador quien escribió sobre las fallas en el portal SecuriTeam, la aplicación también sufre de lo que él ha llamado un mecanismo débil de restablecimiento de PIN y de un mecanismo débil de aseguramiento.

Rathaus, quien también es el jefe de tecnología en Beyond Security, publicó detalles técnicos sobre las vulnerabilidades así como métodos paso a paso para explotarlas.

Según Rathaus, cuando un usuario almacena archivos en AppLock, en realidad se almacenan en una partición del sistema de archivos con capacidades de lectura y escritura y no en aquella destinada para la aplicación. Esto significa que con sólo instalar una aplicación de administración de archivos es posible navegar hasta una base de datos SQLite y después a una ruta para encontrar los archivos.

“Simplemente podemos copiarlas o renombrarlas para acceder a ellas nuevamente”, dijo Rathaus sobre los archivos, los cuales se renombran con marcas de tiempo o timestamps.

El segundo problema, el mecanismo débil de restablecimiento de PIN, permite a un atacante con acceso de administración en el dispositivo tanto ver el código PIN asociado a la aplicación como cambiarlo. Pero ese no es el problema real, la vulnerabilidad de restablecimiento de PIN podría considerarse como más peligrosa ya que podría brindarle al atacante control completo de la app.

Al explotar su función de restablecimiento de la contraseña un atacante podría restablecer el PIN y “obtener acceso completo a todas las funcionalidades de la aplicación sin nunguna restricción o permiso especial,” dijo Rathaus.

El problema radica en que, si un usuario no ha establecido un correo electrónico, un atacante puede establecer el propio para solicitar un código de restablecimiento de PIN incluso si se especifica la dirección, un atacante podría interceptar el tráfico y obtener la solicitud por por ese medio.

Ver informacion original al rspecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2472er

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies