Команда ученых из Колумбийского университета разработала специальный инструмент для динамического анализа приложений Android и проверки того, используют ли они криптографический код небезопасным способом. Только 18 из 306 разработчиков приложений ответили исследовательской группе, и только 8 связались с командой после первого письма, сообщает ZDNet.
Инструмент CRYLOGGER был использован для тестирования 1780 приложений Android. Cамые популярные приложения оценивались в сентябре и октябре 2019 года учеными Колумбийского университета.
Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.
В тройку самых нарушаемых правил вошли:
- Правило № 18 — 1775 приложений — Не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел)
- Правило №1 — 1764 приложения — Не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. Д.)
- Правило № 4 — 1076 приложений — Не используйте режим работы CBC (сценарии клиент / сервер)
Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.
Ученые Колумбийского университета заявили, что после тестирования приложений они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.
«Все приложения популярны: у них от сотен тысяч загрузок до более 100 миллионов», — заявила исследовательская группа. «К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».
Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.
Оценили 3 человека
2 кармы