Evo. G Tech Team Forum
Welcome to Evo. G Tech Team Forum. We have moved to a new website : www.evogtechteam.com

Thanks you.

by Evo. G Tech Team Management.

【转载】风靡全球的AppLock 同样可以泄露你的隐私

View previous topic View next topic Go down

【转载】风靡全球的AppLock 同样可以泄露你的隐私

Post by C Xue Yi on September 6th 2015, 13:36

[You must be registered and logged in to see this image.]
DoMobile Ltd.公司开发的知名的安卓应用AppLock,如今SecuriTeam则发现其容易受到黑客攻击。
AppLock应用锁简介
AppLock在超过50个国家拥有1亿多用户,它自身支持24种语言,这款安卓应用让用户在设备上有了一层安全保护,可以加密隐藏短信、相册、Gmail、Facebook、通话记录以及诸多安卓应用。
这里列举其中一些特性:

1.以PIN码或其他形式锁保护应用
2.为用户提供隐藏照片库
3.为用户提供隐藏视频库
4.创建不同的用户配置文件
5.保护其他应用不被卸载
6.AppLock应用自身可防被kill
无疑,这是一个保护您设备的强大应用,可以加强安卓设备的许多安全特性。该应用本应该保护和隐藏您的数据,比如您的应用、视频和照片等等都应该由PIN码加密。然而Beyond Security公司的安全研究员在SecuriTeam安全披露(SSD)上,公布了它的三个漏洞。
第一个漏洞:
AppLock获得了控制照片和视频的权限。研究人员表示,当你把小秘密放进加密库里时,该文件并未得到加密,并非必须由特定程序才能解开,而是直接藏在了该设备的文件系统里。
通过这个漏洞,只要在设备上安装一个文件管理器,同时替换该目录下的某些文件,就能从SQLite数据库中获得数据。
第二个漏洞:
黑客可以暴力破解PIN码,研究人员称所有的PIN码都使用的固定SALT:domobile。当然这还需要设备已经进行了root,并且黑客获得了删除更改AppLock应用锁的权限。
第三个漏洞:
黑客可以通过重置PIN码,获得该应用的完全控制权限,然后获取用户的隐私。大家知道,重置当然是需要将密码发送给绑定的邮箱,如果该用户没有提供电子邮件地址,黑客可以写上自己的地址,然后将PIN码重置。如果用户提供了电子邮件地址,黑客可以用如Wireshark等工具拦截流量中的MD5值,然后结合固定的SALT进行破解。


转载自freebuf.com

C Xue Yi
Beginner
Beginner

Posts : 28
Points : 18304
Reputation : 0
Join date : 2015-03-25
Age : 20

View user profile

Back to top Go down

View previous topic View next topic Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum