安全研究人员发现，DoMobile Ltd.公司开发的知名的安卓安全应用AppLock存在多个漏洞，容易受到黑客攻击。

AppLock应用锁简介

AppLock在超过50个国家拥有1亿多用户，它自身支持24种语言，这款安卓应用让用户在设备上有了一层安全保护，可以加密隐藏短信、相册、Gmail、Facebook、通话记录以及诸多安卓应用。
这里列举其中一些特性：

1.以PIN码或其他形式锁保护应用
2.为用户提供隐藏照片库
3.为用户提供隐藏视频库
4.创建不同的用户配置文件
5.保护其他应用不被卸载
6.AppLock应用自身可防被kill

无疑，这是一个保护您设备的强大应用，可以加强安卓设备的许多安全特性。该应用本应该保护和隐藏您的数据，比如‍‍‍‍‍‍‍‍您的应用、视频和照片等等都应该由PIN码加密。然而Beyond Security公司的安全研究员在SecuriTeam安全披露（SSD）上，公布了它的三个漏洞。

第一个漏洞：

AppLock获得了控制照片和视频的权限。研究人员表示，当你把小秘密放进加密库里时，该文件并未得到加密，并非必须由特定程序才能解开，而是直接藏在了该设备的文件系统里。

通过这个漏洞，只要在设备上安‍‍‍‍‍‍‍‍装一个文件管理器，同时替换该目录下的某些文件，就能从SQLite数据库中获得数据。

‍‍第二个漏洞：

‍‍黑客可以暴力破解PIN码，研究人员称所有的PIN码都使用的固定SALT：domobile。当然这还需要设备已经进行了root，并且黑客获得了删除更改AppLock应用锁的权限。

‍‍第三个漏洞：

黑客可以通过重置PIN码，获得该应用的完全控制权限，然后获取用户的隐私。大家知道，重置当然是需要将密码发送给绑定的邮箱，如果该用户没有提供电子邮件地址，黑客可以写上自己的地址，然后将PIN码重置。如果用户提供了电子邮件地址，黑客可以用如Wireshark等工具拦截流量中的MD5值，然后结合固定的SALT进行破解。

SecuriTeam试图联系厂商，不过没有得到回应。他们表示自己是为了保护用户隐私，提醒现在用户有的只是虚假的安全感。

*参考来源：TA，编译/dawner，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM)