Группа исследователей из Колумбийского университета (CU) разработала инструмент CRYLOGGER для динамической проверки приложений для Android на использование криптографических ключей небезопасным образом. Об этом сообщает ZDNet.
Эксперты проверили 1780 популярных программ из 33 категорий в Google Play в сентябре-октябре 2019 года на соответствие 26 базовым правилам криптографии и обнаружили нарушения в работе 306 приложений. Некоторые не соответствовали всего одному требованию, другие — нескольким сразу.
Тремя самыми часто нарушаемыми правилами стали:
- Правило No18 — 1775 приложений — не использовать генератор псевдослучайных чисел
- Правило No1 — 1764 приложения — не использовать «сломанные» функции хэша
- Правило No4 — 1076 приложений — не использовать режим сцепления блоков зашифрованного текста.
По мнению исследователей, специалисты по криптографии хорошо знакомы с этими требованиями, но разработчики приложений, которые не изучали основ программной безопасности и продвинутую криптографию и поскорее хотели бы войти в сферу создания приложений, могут не знать о них.
Разработчикам все равно
Сотрудники CU связались с разработчиками 306 наиболее проблемных приложений и сообщили об их уязвимости. Ошибки нашлись как в основном коде, так и в библиотеках Java, которые использовались для написания программ.
Только 18 разработчиков ответили на первый email, еще 8 дали обратную связь. Из шести авторов популярных библиотек исследователям ответили лишь двое. Ни одна из потенциально опасных программ и библиотек пока не получила исправляющего ошибки безопасности патча. При этом речь идет о популярном софте, число загрузок которого исчисляется «от сотен тысяч до более 100 миллионов», отметили в CU.
Текст полного доклада исследователей доступен в цифровой библиотеке IEEE.
Это тоже интересно:
