Інструмент CRYLOGGER був використаний для тестування 1780 додатків Android. Найпопулярніші програми
Дослідники заявили, що інструмент, який перевірив 26 основних правил криптографії, виявив помилки в 306 додатках Android. Деякі додатки порушують одне правило, а інші - кілька.
До трійки найбільш порушуваних правил увійшли:
- правило № 18 - 1 775 додатків: не використовуйте небезпечний ГПСЧ (генератор псевдовипадкових чисел);
- правило № 1 - 1 764 додатки: не використовуйте непрацюючі хеш-функції (SHA1, MD2, MD5 і т. д.);
- правило № 4 посилання - 1 076 додатків: не використовуйте режим роботи CBC (сценарії клієнт / сервер).
Це основні правила, які добре знає будь-якийкриптограф, але правила, про які деякі розробники додатків можуть не знати, не вивчивши безпеку додатків (AppSec) або розширену криптографію перед тим, як увійти в область розробки додатків.
Вчені Колумбійського університету заявили, що після тестування вони також зв'язалися з усіма розробниками 306 додатків для Android, які виявилися вразливими.
«Всі програми популярні: у них від сотень тисяч завантажень до більш 100 млн, - заявила дослідницька група. - На жаль, тільки 18 розробників відповіли на наше перший електронний лист із запитом, і тільки 8 з них неодноразово відповідали нам, даючи корисні відгуки про наших результатах ».
Оскільки жоден з розробників не виправивсвої програми та бібліотеки, дослідники утрималися від публікації назв вразливих додатків і бібліотек, пославшись на можливі спроби експлуатації проти користувачів додатків.
Читати також
Подивіться на 3D-карту Всесвіту: її складали 20 років і вона вже здивувала вчених
Вчені з'ясували, чому діти є найнебезпечнішими переносниками COVID-19
З'ясувалося, що змусило цивілізацію майя покинути свої міста