Fast App Lock y sus problemas de seguridad

0

En muchas ocasiones os hemos hablado de la necesidad de proteger vuestros smartphones de las miradas de terceros, para lo que os recomendamos que activéis alguno de los mecanismos se seguridad que provee el sistema, teniendo en cuenta que el archiconocido patrón de bloqueo es crackeable, tal como os mostrábamos hace ya algunas semanas.

Adicionalmente, os instamos a que activéis el bloqueo por PIN de vuestra tarjeta de acceso a la red telefónica, la comúnmente conocida como SIM, ya que ese sistema de seguridad impedirá el acceso a vuestra línea telefónica, y el consecuente gasto económico que podría acarrear, en caso de que alguien se encuentre vuestro terminal y éste se encuentre apagado, por haber consumido toda su batería, por ejemplo.

Otros usuarios, y llegamos ya al punto central de este artículo, usan aplicaciones que permiten bloquear el acceso a diversos componentes de nuestros dispositivos, tales como la galería, las aplicaciones de redes sociales, etc.

Banner con un Android roto

En general estas aplicaciones son bastante configurables e incorporan la posibilidad de definir una lista de aplicaciones a las que no se puede acceder sin introducir una contraseña, protegiendo además su propia pantalla de configuración, que no es accesible sin conocer la mencionada contraseña e incluso, las más elaboradas, impidiendo su desinstalación.

El otro día un compañero me enseñó una de esas aplicaciones, denominada Fast App Lock, que acumula entre uno y cinco millones de descargas, según indica la propia tienda de aplicaciones de Google y, ciertamente tenía bastante buena pinta (en cuanto a funcionalidades).

La aplicación, como ya hemos indicado, permite proteger mediante contraseña un número ilimitado de aplicaciones, ofreciendo una interfaz bastante agradable e intuitiva.

Además, una notificación en pantalla nos indica la última vez que alguien accedió a la pantalla de configuración de la aplicación (si bien quizás sería más conveniente que indicara la última vez que se accedió a una aplicación protegida y el nombre de ésta).

Capturas de pantalla de Fast App Lock

No obstante, y dado que el dispositivo en el que estaba instalada la aplicación estaba rooteado, se me ocurrió acceder con Root Explorer al directorio en el que se almacenan las configuraciones de dicha aplicación (/data/data/cn.menue.applock.international/shared_prefs) y, ¡horror!, la aplicación almacena la contraseña en formato plano, sin encriptar, ni recodificar, ni nada.

# cat applock.xml
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<int name="failure_count" value="0" />

<string name="pwd">5485</string>
<boolean name="closelock" value="false" />
<string name="safeans">erds</string>
<int name="safeques" value="0" />
<long name="lft" value="0" />
</map>

Señores desarrolladores: es norma habitual que jamás se almacenan las contraseñas en formato plano, siempre encriptadas y, si ello no es factible, se almacena el hash MD5 de la contraseña.

En cuanto a los usuarios de estas aplicaciones, os recomendamos que, en la medida de lo posible, y tras configurar estas aplicaciones, observéis con detenimiento los archivos de configuración de las mismas en busca de datos que puedan comprometer su seguridad.

Sin comentarios

Dejar respuesta