Hace tiempo nos preocupabamos por la seguridad de las contraseñas en clientes como Filezilla, donde con solo acceder a un fichero XML era posible ver qué contraseñas estaban allí guardadas. Este problema es común a muchas aplicaciones que acaban instaladas en nuestros dispositvos móviles, y ayer mismo en Dragonjar explicaban este mismo problema pero con otra aplicación: El cliente iSSH.

iSSH es uno de los más populares, si no el más popular sí que el más descargado de la App Store, clientes SSH para dispositivos con iOS, y tal y como se puede ver en la imagen superior, NO CIFRA las claves, por lo que cualquier persona que pueda acceder al archivo /private/var/mobile/Applications/[número_aleatorio]/Library/Preferences/config.dat del dispositivo puede ver en texto claro el usuario, la passowrd y la dirección del servidor.

Sí, hay que acceder al dispositivo o al backup, pero en caso de extravío o robo, podría darse esta situación. Usar un cifrado con clave maestra para el almacenamiento de todas las credenciales hubiera sido lo recomendable. La pregunta que nos surge es, ¿cuántas aplicacions almacenan los datos así, de forma insegura?

Este problema nos llama la atención porque es una aplicación dirigida, comunmente, a administradores de sistemas, responsables de seguridad o técnicos profesionales. Sin embargo, en el resto de aplicaciones dedicadas a usuarios no técnicos, esta es una práctima más que aceptada, y que permite que un análisis forense de un iPhone obtenga petróleo de un terminal.