行业资讯

网络信息安全资讯,SSL证书资讯,SSL行业资讯

您现在所在的位置首页 > 行业资讯 > 全球热门安全应用AppLock存隐私泄露风险

全球热门安全应用AppLock存隐私泄露风险

 

QQ截图20150908165938

安全研究人员发现,DoMobile Ltd.公司开发的知名的安卓安全应用AppLock存在多个漏洞,容易受到黑客攻击。

AppLock应用锁简介

AppLock在超过50个国家拥有1亿多用户,它自身支持24种语言,这款安卓应用让用户在设备上有了一层安全保护,可以加密隐藏短信、相册、Gmail、Facebook、通话记录以及诸多安卓应用。

这里列举其中一些特性:

1.以PIN码或其他形式锁保护应用

2.为用户提供隐藏照片库

3.为用户提供隐藏视频库

4.创建不同的用户配置文件

5.保护其他应用不被卸载

6.AppLock应用自身可防被kill

无疑,这是一个保护您设备的强大应用,可以加强安卓设备的许多安全特性。该应用本应该保护和隐藏您的数据,比如您的应用、视频和照片等等都应该由PIN码加密。然而Beyond Security公司的安全研究员在SecuriTeam安全披露(SSD)上,公布了它的三个漏洞。

第一个漏洞:

AppLock获得了控制照片和视频的权限。研究人员表示,当你把小秘密放进加密库里时,该文件并未得到加密,并非必须由特定程序才能解开,而是直接藏在了该设备的文件系统里。

通过这个漏洞,只要在设备上安装一个文件管理器,同时替换该目录下的某些文件,就能从SQLite数据库中获得数据。

第二个漏洞:

黑客可以暴力破解PIN码,研究人员称所有的PIN码都使用的固定SALT:domobile。当然这还需要设备已经进行了root,并且黑客获得了删除更改AppLock应用锁的权限。

第三个漏洞:

黑客可以通过重置PIN码,获得该应用的完全控制权限,然后获取用户的隐私。大家知道,重置当然是需要将密码发送给绑定的邮箱,如果该用户没有提供电子邮件地址,黑客可以写上自己的地址,然后将PIN码重置。如果用户提供了电子邮件地址,黑客可以用如Wireshark等工具拦截流量中的MD5值,然后结合固定的SALT进行破解。

SecuriTeam试图联系厂商,不过没有得到回应。他们表示自己是为了保护用户隐私,提醒现在用户有的只是虚假的安全感。