El almacenamiento local inseguro de datos en aplicaciones es un tema recurrente a la hora de diseñar aplicaciones robustas. Ya habíamos tenido noticias de casos como el almacenamiento de las credenciales en texto claro de las conexiones usadas en Filezilla o en el propio cliente iSSH, lo que generó bastante revuelo mediático.
A este grupo hay que añadir también el cliente de Dropbox para iOS, tal y como publicó Alejandro Ramos "dab" en SecurityByDefault.
A este grupo hay que añadir también el cliente de Dropbox para iOS, tal y como publicó Alejandro Ramos "dab" en SecurityByDefault.
El problema de esta aplicación radica en la existencia de un PIN de acceso a la aplicación que se usa como protección antes de acceder a tu carpeta en la nube. Este PIN está pensado para dar mayor seguridad en el caso de alguien pueda manipular el terminal sin nuestro conocimiento.
Sin embargo, ese PIN sufre de almacenamiento inseguro y se guarda en un archivo plist en texto claro, lo que hace que no suponga ninguna barrera para alguien que acceda al terminal lo suficiente como para hacer un backup.
Os recordamos que publicamos una conferencia muy interesante de Jeremy Allen sobre desarrollo seguro de aplicaciones iOS que impartió en las conferencias B-Sides.
No hay comentarios:
Publicar un comentario