iOS Hacking: credenciales Google Analytics sin cifrar

Revisando la seguridad de algunas aplicaciones iOS me he encontrado con una sorpresa, que no esperaba, al menos en uno servicio como el de Google Analytics, y es que revisando la seguridad y privacidad en Local Storage del dispositivo Apple he encontrado que mis credenciales de Google Analytics estaban almacenadas en claro, sin ningún tipo de cifrado.

A nivel de almacenamiento local, tal y como veremos en próximos artículos de la serie «iOS Hacking» en este blog, destacar que existen varias localizaciones donde poder encontrar información sensible de las aplicaciones o del propio sistema. Ficheros de configuración, temporales, cookies, bases de datos, capturas, logs del sistema o aplicación, etc. Entre estas localizaciones nos encontramos también un contenedor cifrado que almacena algunos datos sensibles como pueden ser nombres de usuarios, contraseñas, o certificados, se trata del Keychain de iOS.

Ha sido en este contenedor donde he encontrado mis credenciales sin cifrar.

Google Analytics - iOS

Un acceso físico al dispositivo, a causa de un descuido, robo o pérdida, fuga de información debido a un malware, o acceso a una copia de seguridad del dispositivo, permitiría extraer esta información del usuario.

Permaneced atentos que próximamente iremos publicando más artículos relacionados con la seguridad en aplicaciones y dispositivos iOS dentro de la serie de posts que ya hemos comenzado y nombrado como «iOS Hacking«.

¡Hasta pronto!