全球热门安全应用AppLock存隐私泄露风险
安全研究人员发现,DoMobile Ltd.公司开发的知名的安卓安全应用AppLock存在多个漏洞,容易受到黑客攻击。
AppLock应用锁简介
AppLock在超过50个国家拥有1亿多用户,它自身支持24种语言,这款安卓应用让用户在设备上有了一层安全保护,可以加密隐藏短信、相册、Gmail、Facebook、通话记录以及诸多安卓应用。
这里列举其中一些特性:
1.以PIN码或其他形式锁保护应用
2.为用户提供隐藏照片库
3.为用户提供隐藏视频库
4.创建不同的用户配置文件
5.保护其他应用不被卸载
6.AppLock应用自身可防被kill
无疑,这是一个保护您设备的强大应用,可以加强安卓设备的许多安全特性。该应用本应该保护和隐藏您的数据,比如您的应用、视频和照片等等都应该由PIN码加密。然而Beyond Security公司的安全研究员在SecuriTeam安全披露(SSD)上,公布了它的三个漏洞。
第一个漏洞:
AppLock获得了控制照片和视频的权限。研究人员表示,当你把小秘密放进加密库里时,该文件并未得到加密,并非必须由特定程序才能解开,而是直接藏在了该设备的文件系统里。
通过这个漏洞,只要在设备上安装一个文件管理器,同时替换该目录下的某些文件,就能从SQLite数据库中获得数据。
第二个漏洞:
黑客可以暴力破解PIN码,研究人员称所有的PIN码都使用的固定SALT:domobile。当然这还需要设备已经进行了root,并且黑客获得了删除更改AppLock应用锁的权限。
第三个漏洞:
黑客可以通过重置PIN码,获得该应用的完全控制权限,然后获取用户的隐私。大家知道,重置当然是需要将密码发送给绑定的邮箱,如果该用户没有提供电子邮件地址,黑客可以写上自己的地址,然后将PIN码重置。如果用户提供了电子邮件地址,黑客可以用如Wireshark等工具拦截流量中的MD5值,然后结合固定的SALT进行破解。
SecuriTeam试图联系厂商,不过没有得到回应。他们表示自己是为了保护用户隐私,提醒现在用户有的只是虚假的安全感。