Більше 300 криптографічних помилок знайдено в популярних додатках Android

Інструмент CRYLOGGER був використаний для тестування 1780 додатків Android. Найпопулярніші програми

оцінювалися; у вересні та жовтні 2019 року вченими Колумбійського університету.

Дослідники заявили, що інструмент, який перевірив 26 основних правил криптографії, виявив помилки в 306 додатках Android. Деякі додатки порушують одне правило, а інші - кілька.

До трійки найбільш порушуваних правил увійшли:

  • правило № 18 - 1 775 додатків: не використовуйте небезпечний ГПСЧ (генератор псевдовипадкових чисел);
  • правило № 1 - 1 764 додатки: не використовуйте непрацюючі хеш-функції (SHA1, MD2, MD5 і т. д.);
  • правило № 4 посилання - 1 076 додатків: не використовуйте режим роботи CBC (сценарії клієнт / сервер).

Це основні правила, які добре знає будь-якийкриптограф, але правила, про які деякі розробники додатків можуть не знати, не вивчивши безпеку додатків (AppSec) або розширену криптографію перед тим, як увійти в область розробки додатків.

Вчені Колумбійського університету заявили, що після тестування вони також зв'язалися з усіма розробниками 306 додатків для Android, які виявилися вразливими.

«Всі програми популярні: у них від сотень тисяч завантажень до більш 100 млн, - заявила дослідницька група. - На жаль, тільки 18 розробників відповіли на наше перший електронний лист із запитом, і тільки 8 з них неодноразово відповідали нам, даючи корисні відгуки про наших результатах ».

Оскільки жоден з розробників не виправивсвої програми та бібліотеки, дослідники утрималися від публікації назв вразливих додатків і бібліотек, пославшись на можливі спроби експлуатації проти користувачів додатків.

Читати також

Подивіться на 3D-карту Всесвіту: її складали 20 років і вона вже здивувала вчених

Вчені з'ясували, чому діти є найнебезпечнішими переносниками COVID-19

З'ясувалося, що змусило цивілізацію майя покинути свої міста