百万安卓手机用户使用AppLock是为了限制他人未经自己同意便登入手机，访问文件或应用，Noam Rathaus（Beyond安全公司的CTO ）的报告中提出，这个app中有三大严重的漏洞。

　　AppLock是由香港的DoMoile公司开发，超过50个国家的1亿用户使用的一款手机应用。这款应用可以阻止他人访问手机短信、联系人、Gmail、facebook、图片库、设置、通话记录，或者其他app的未经授权安装。

　　根据Rathaus的报告，AppLock的三大漏洞会暴露用户的数据，尽管用户使用PIN码锁住了这些数据。

　　AppLock的PIN码可被轻松变更

　　最致命的是一个绕过PIN的bug，不必获得root权限就可以应用于手机。这个漏洞利用了一个弱PIN码的重置机制，通过拦截用户手机的网络流量，攻击者可以在用户试图恢复丢失的PIN码时拦截HTTP请求与响应。

　　另一种情况是AppLock的用户没有在app设置中关联email账户。

　　在这种情况下，攻击者都可以使用密码重置功能，并设置自己的邮箱为关联账户，通过接收邮箱的重置PIN码验证码，不需要其他任何第二步验证就可以更改用户的PIN码了。

　　这个漏洞不需要root权限，黑客就可以访问被上锁的文件。狡猾些的的攻击者可以给任何app加上或移除PIN码保护。

　　另一个漏洞是弱加密文件，通过嗅探AppLock的SQLite数据可以轻松得到加密文件的存贮位置。

　　最后一个漏洞需要root权限进行访问，所以被黑客利用的可能性较小，但当这种情况发生时，攻击者可以变更用户的PIN码，移除现存应用的PIN码，甚至可以给其他应用上锁，让用户访问不了自己的文件。

　　所有AppLock漏洞都是在今年夏天发现并立即通知了厂商。但是Rathaus表示DoMobile在7月31日获知产品缺陷后便停止了与他的沟通。

　　AppLock曾在四天前更新过，Rathaus历经了一个月的考虑之后最终决定公布他的发现，他觉得开发者给了用户一种虚假的安全感。

　　【本文翻译自威客众测原创翻译,转载请注明来自威客众测（www.secwk.com）】