Более 300 криптографических ошибок найдено в популярных приложениях Android

Команда ученых из Колумбийского университета разработала специальный инструмент для динамического анализа приложений Android и проверки того, используют ли они криптографический код небезопасным способом. Только 18 из 306 разработчиков приложений ответили исследовательской группе, и только 8 связались с командой после первого письма, сообщает ZDNet

Инструмент CRYLOGGER был использован для тестирования 1 780 приложений Android. Cамые популярные приложения оценивались  в сентябре и октябре 2019 года учеными Колумбийского университета.

Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.

В тройку самых нарушаемых правил вошли:

  • правило № 18 — 1 775 приложений: не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел);
  • правило № 1 — 1 764 приложения: не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. д.);
  • правило № 4 — 1 076 приложений: не используйте режим работы CBC (сценарии клиент/сервер).

Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.

Ученые Колумбийского университета заявили, что после тестирования они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.

«Все приложения популярны: у них от сотен тысяч загрузок до более 100 млн, — заявила исследовательская группа. — К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».

Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.

Читать также

Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых

Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19

Выяснилось, что заставило цивилизацию майя покинуть свои города

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Астрономы сфотографировали «детство Вселенной» до появления галактик
Космос
Прощальные кадры: лунный модуль сфотографировал закат на Луне
Наука
Гены загадочных предков людей повлияли на работу мозга, показало исследование
Наука
В Петербурге открыли лабораторию для создания компьютеров, которые имитируют работу мозга
Наука
Телескоп «Евклид» показал 26 млн галактик: опубликованы первые результаты миссии
Космос
Крошечных морских животных увеличили в пять раз, чтобы рассмотреть их клетки
Наука
В Сеченовском Университете появится «умная» операционная 
Новости
Операторы связи начали заменять китайское оборудование на российское
Новости
В России хотят обязать использование отечественных процессоров для ИИ
Новости
Посмотрите на первого робота-гуманоида Nvidia в действии
Новости
Образцы с обратной стороны Луны показали, какой она была в прошлом
Космос
Морские интернет-кабели научились «прослушивать» на предмет саботажа
Новости
Нового рекорда на термоядерном синтезе добились в России
Наука
Российские ученые разработали материалы для памяти будущего  
Наука
Выяснилось, какие мутации ДНК ускоряют старение  
Наука
«Суперджет» с российскими двигателями ПД-8 впервые поднялся в воздух
Новости
Светочувствительные нановолокна ускорили рост нейронов  
Наука
ChatGPT может «заболеть» тревожностью и депрессией, но есть способ его «успокоить»  
Новости
Москва сократила выбросы углерода на 190 000 тонн благодаря электробусам  
Новости
Игуаны совершили рекордное путешествие миллионы лет назад: они проплыли по океану 8 000 км
Наука