viernes, 4 de septiembre de 2015

Vulnerabilidades de cifrado inundan a AppLock

Vulnerabilidades de cifrado inundan a AppLock
Existen múltiples fallas en AppLock, una popular aplicación de bloqueo para dispositivos Android que se ha distribuido a más de 100 millones de usuarios.

Un investigador de seguridad dice que la aplicación, la cual supuestamente almacena fotos, videos y otras aplicaciones de forma segura, realmente no utiliza cifrado para hacerlo, simplemente esconde los archivos en otra ubicación dentro del teléfono, donde es posible que un atacante pueda leerlas.
Según Noam Rathaus, un investigador quien escribió sobre las fallas en el portal SecuriTeam, la aplicación también sufre de lo que él ha llamado un mecanismo débil de restablecimiento de PIN y de un mecanismo débil de aseguramiento. 
Rathaus, quien también es el jefe de tecnología en Beyond Security, publicó detalles técnicos sobre las vulnerabilidades así como métodos paso a paso para explotarlas. 
Según Rathaus, cuando un usuario almacena archivos en AppLock, en realidad se almacenan en una partición del sistema de archivos con capacidades de lectura y escritura y no en aquella destinada para la aplicación. Esto significa que con sólo instalar una aplicación de administración de archivos es posible navegar hasta una base de datos SQLite y después a una ruta para encontrar los archivos. 
"Simplemente podemos copiarlas o renombrarlas para acceder a ellas nuevamente", dijo Rathaus sobre los archivos, los cuales se renombran con marcas de tiempo o timestamps.
El segundo problema, el mecanismo débil de restablecimiento de PIN, permite a un atacante con acceso de administración en el dispositivo tanto ver el código PIN asociado a la aplicación como cambiarlo. Pero ese no es el problema real, la vulnerabilidad de restablecimiento de PIN podría considerarse como más peligrosa ya que podría brindarle al atacante control completo de la app.
Al explotar su función de restablecimiento de la contraseña un atacante podría restablecer el PIN y "obtener acceso completo a todas las funcionalidades de la aplicación sin nunguna restricción o permiso especial," dijo Rathaus.
El problema radica en que, si un usuario no ha establecido un correo electrónico, un atacante puede establecer el propio para solicitar un código de restablecimiento de PIN incluso si se especifica la dirección, un atacante podría interceptar el tráfico y obtener la solicitud por por ese medio.



No hay comentarios:

Publicar un comentario