Menú principal

miércoles, 14 de marzo de 2012

El PIN del passcode de Dropbox para iOS en texto claro

El almacenamiento local inseguro de datos en aplicaciones es un tema recurrente a la hora de diseñar aplicaciones robustas. Ya habíamos tenido noticias de casos como el almacenamiento de las credenciales en texto claro de las conexiones usadas en Filezilla o en el propio cliente iSSH, lo que generó bastante revuelo mediático.

A este grupo hay que añadir también el cliente de Dropbox para iOS, tal y como publicó Alejandro Ramos "dab" en SecurityByDefault.

El problema de esta aplicación radica en la existencia de un PIN de acceso a la aplicación que se usa como protección antes de acceder a tu carpeta en la nube. Este PIN está pensado para dar mayor seguridad en el caso de alguien pueda manipular el terminal sin nuestro conocimiento.

Figura 1: Configuración del PIN de acceso en Dropbox para iOS

Sin embargo, ese PIN sufre de almacenamiento inseguro y se guarda en un archivo plist en texto claro, lo que hace que no suponga ninguna barrera para alguien que acceda al terminal lo suficiente como para hacer un backup.

Figura 2: El PIN de acceso en texto claro en un fichero plist

Os recordamos que publicamos una conferencia muy interesante de Jeremy Allen sobre desarrollo seguro de aplicaciones iOS que impartió en las conferencias B-Sides.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares