Ноам Ратхаус, исследователь информационной безопасности из Beyond Security, нашел целый ряд уязвимостей в приложении AppLock, которое предназначено для защиты информации в устройствах на базе ОС Android. Приложением пользуются 100 миллионов человек. По словам эксперта, в приложении AppLock, целью которого является сохранность важных данных, не используется надлежащее шифрование. Приложение лишь маскирует файлы, что не мешает злоумышленнику получить к ним доступ.
Как утверждает Ратхаус, источником проблемы являются слабые механизмы сброса пин-кода и блокировки. Экспертом были опубликованы подробности касательно технических деталей уязвимостей, а также пошаговые инструкции по их использованию.
Ратхаус сообщает, что, когда пользователь пытается сохранить файлы в AppLock, информация на самом деле сохраняется не в файловой системе, которая непосредственно относится к приложению, а в разделе файловой системы устройства, предназначенном для чтения или записи. Злоумышленнику необходимо лишь установить файловый менеджер, с помощью которого он получит доступ к определенной базе данных SQLite, а затем к образам.
Другая уязвимость связана со слабостью механизма блокировки: злоумышленник, получив права суперпользователя, может изменить пин-код, который относится к приложению. Эта уязвимость наиболее опасна, так как с ее помощью хакер может полностью захватить контроль над AppLock. Благодаря уязвимости, у злоумышленника есть возможность воспользоваться функцией сброса пароля и заполучить доступ ко всему функционалу приложения, не имея при этом каких-либо специальных разрешений.
Проблема связана с тем, что, в случае, если пользователем в приложении не была осуществлена настройка электронной почты, то у хакера есть возможность путем добавления своей собственной почты извлечь пин-код, а позже переустановить его. Но даже если почта пользователя и указана в приложении, то хакер может использовать Wireshark, осуществить перехват трафика и удаленно сбросить пароль.
В компании DoMobile Lab, которая является разработчиком приложения AppLock, уже известно об наличии уязвимостей, но пока что неизвестно, когда будет выпущено обновление, которое исправит бреши.