Более 300 криптографических ошибок найдено в популярных приложениях Android

Инструмент CRYLOGGER был использован для тестирования 1 780 приложений Android. Cамые популярные приложения оценивались  в сентябре и октябре 2019 года учеными Колумбийского университета.

Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.

В тройку самых нарушаемых правил вошли:

• правило № 18 — 1 775 приложений: не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел);
• правило № 1 — 1 764 приложения: не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. д.);
• правило № 4 — 1 076 приложений: не используйте режим работы CBC (сценарии клиент/сервер).

Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.

Ученые Колумбийского университета заявили, что после тестирования они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.

«Все приложения популярны: у них от сотен тысяч загрузок до более 100 млн, — заявила исследовательская группа. — К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».

Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.

Читать также

Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых

Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19

Выяснилось, что заставило цивилизацию майя покинуть свои города