3 failles de sécurité dans l'application AppLock

par ·


  • FrançaisFrançais


    • Suivez-nous sur notre page Facebook et notre canal Telegram


    L’application AppLock est utilisée par des millions d’utilisateurs pour limiter l’accès aux fonctionnalités de leur téléphone. Noam Rathaus, CTO de Beyond Security, rapporte 3 failles de sécurité qui rendent cette application AppLock complètement inutile.

    AppLock est une application qui est développée par l’entreprise DoMobile à Hong Kong. Elle est actuellement utilisée par 100 millions d’utilisateurs dans plus de 50 pays. Elle peut être utilisée pour bloquer l’accès aux SMS, aux contacts, à Facebook, aux images et aux réglages d’un Smartphone Android. Selon Mr Rathaus, AppLock est infecté par 3 failles qui exposent les données de l’utilisateur malgré le fait qu’AppLock utilise un PIN.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    On peut changer facilement le PIN d’AppLock

    La faille la plus critique permet de contourner le PIN. Et on peut utiliser cette faille sans avoir d’une permission Root sur l’appareil. La faille se manifeste via un mécanisme faible de réinitialisation du PIN qui permet aux pirates d’intercepter les requêtes et les réponses HTTP lorsque l’utilisateur tente de restaurer son PIN. Cela se base sur interception du trafic provenant de l’appareil, mais également lorsque l’utilisateur d’AppLock n’a pas associé un mail dans les réglages de son application. Le résultat est que le pirate peut simplement fournir son adresse mail pour réinitialiser le PIN.

    Les PINs peuvent être supprimés ou ajoutés à d’autres applications

    La seconde faille réside dans l’absence de chiffrement sur la localisation des fichiers verrouillés. Ainsi, on peut facilement découvrir ces emplacements en analysant la base de données SQLite d’AppLock. Cette seconde faille ne nécessite pas non plus d’accès à root.

    L’accès root est nécessaire pour la troisième faille, mais elle est plus difficile à exploiter. Quand elle se produit, les pirates peuvent changer ou supprimer le PIN des applications actuelles et même l’ajouter à d’autres. Le résultat est que les fichiers sont verrouillés et que l’utilisateur ne peut plus y accéder. Toutes ces failles AppLock ont été découvertes cet été et les développeurs d’AppLock ont été contactés immédiatement. Malheureusement, Rathaus a déclaré que DoMobile a coupé tout contact après qu’il ait été informé de ces failles. L’application a quand même été mise à jour pour corriger ces failles, mais le chercheur a décidé de les publier parce que DoMobile donnait une fausse impression de sécurité. Mais tous les utilisateurs d’AppLock n’ont pas mis à jour vers la dernière version et cela signifie qu’ils sont vulnérables.

     

    Suivez nous sur Google News
    Mes livres
    Le Basilic de Roko Mon parcours de rédacteur web Science corrompue et servile Nous, Tueurs en série

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Tags:

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *