Более 300 криптографических ошибок найдено в популярных приложениях Android

Команда ученых из Колумбийского университета разработала специальный инструмент для динамического анализа приложений Android и проверки того, используют ли они криптографический код небезопасным способом. Только 18 из 306 разработчиков приложений ответили исследовательской группе, и только 8 связались с командой после первого письма, сообщает ZDNet

Инструмент CRYLOGGER был использован для тестирования 1 780 приложений Android. Cамые популярные приложения оценивались  в сентябре и октябре 2019 года учеными Колумбийского университета.

Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.

В тройку самых нарушаемых правил вошли:

  • правило № 18 — 1 775 приложений: не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел);
  • правило № 1 — 1 764 приложения: не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. д.);
  • правило № 4 — 1 076 приложений: не используйте режим работы CBC (сценарии клиент/сервер).

Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.

Ученые Колумбийского университета заявили, что после тестирования они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.

«Все приложения популярны: у них от сотен тысяч загрузок до более 100 млн, — заявила исследовательская группа. — К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».

Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.

Читать также

Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых

Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19

Выяснилось, что заставило цивилизацию майя покинуть свои города

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Китайский робот научился готовить пельмени и пользоваться палочками
Новости
Цифровые лидеры нового времени: объявлены лауреаты ежегодной Премии Digital Leaders-2025
Новости
Древнейший «арт-объект» неандертальцев с отпечатком автора, нашли в Испании
Наука
На Урале разработали сверхпрочное покрытие для защиты авиадвигателей
Наука
Сверхтонкая линза делает видимым инфракрасное излучение
Наука
Новый закон об иностранных мессенджерах вступил в силу в России
Новости
Больше миллиона Гбит в секунду: японцы побили рекорд скорости передачи данных по оптоволокну
Новости
Хаос во благо: физики создали новый инструмент для квантового мира
Наука
Hugging Face выпустила недорогих человекоподобных роботов с открытым кодом
Новости
Китайский аккумулятор для электромобиля выдержал наезд 36-тонного танка
Новости
Воспитанники детских домов изучат основы работы с нейросетями
Новости
Четвероногий робот из Цюриха научился играть в бадминтон с людьми
Новости
В MIT раскрыли механизм набора веса из-за жирной пищи и как обратить его вспять
Наука
60 000 лет рядом: ученые выяснили, кто стал первым паразитом человека
Наука
Ректора Университета Иннополис избрали членом-корреспондентом РАН
Иннополис
В Корее робопса научили паркуру и бегу по стенам: посмотрите, что он может
Новости
Древний череп «человека-муравья» нашли в Аргентине
Наука
На селфи марсохода попал неожиданный объект: его заметили не сразу
Космос
Посмотрите на двух морских коньков, которых застукали за «поцелуем» в океане
Наука
Почти 10 000 роутеров Asus тайно заразили: как проверить свой и защититься
Новости