Более 300 криптографических ошибок найдено в популярных приложениях Android

Команда ученых из Колумбийского университета разработала специальный инструмент для динамического анализа приложений Android и проверки того, используют ли они криптографический код небезопасным способом. Только 18 из 306 разработчиков приложений ответили исследовательской группе, и только 8 связались с командой после первого письма, сообщает ZDNet

Инструмент CRYLOGGER был использован для тестирования 1 780 приложений Android. Cамые популярные приложения оценивались  в сентябре и октябре 2019 года учеными Колумбийского университета.

Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.

В тройку самых нарушаемых правил вошли:

  • правило № 18 — 1 775 приложений: не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел);
  • правило № 1 — 1 764 приложения: не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. д.);
  • правило № 4 — 1 076 приложений: не используйте режим работы CBC (сценарии клиент/сервер).

Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.

Ученые Колумбийского университета заявили, что после тестирования они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.

«Все приложения популярны: у них от сотен тысяч загрузок до более 100 млн, — заявила исследовательская группа. — К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».

Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.

Читать также

Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых

Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19

Выяснилось, что заставило цивилизацию майя покинуть свои города

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Вирус герпеса перестраивает геном человека, но есть способ его остановить
Наука
Разработаны роботы размером с игрушечную машинку для ремонта водопроводных труб
Новости
В Самаре запустили первый в России дата-центр, объединяющий майнинг и ИИ
Новости
Болезнь Паркинсона на ранней стадии определят по ушной сере
Наука
BI-стратегия компании: что она дает и как ее создать
Мнения
В Мариинке показали оперу, которую дописал искусственный интеллект
Новости
Открыт нейронный путь, который приводит к бессонице после перенесенного стресса
Наука
Китайский маглев установил рекорд: разогнался до 650 км/ч за семь секунд
Новости
Австралийские бабочки используют звезды для навигации в пространстве
Наука
Древний череп из Китая впервые позволил понять, как выглядели денисовцы
Наука
Открыта загадочная связь между уровнем кислорода и магнитным полем Земли
Космос
Альтернатива сжиганию: разработана технология переработки угля в высокотехнологичное сырье
Наука
Ракета Starship Илона Маска взорвалась на площадке при подготовке к испытаниям
Космос
TECNO MEGABOOK K15S: универсальный ноутбук для тех, кто работает, создает и отдыхает
Кейсы
Два китайских спутника встретились на орбите Земли
Космос
В Москве пройдет второй Международный технологический конгресс МТК-2025
Новости
Из перовскита создали датчик изображения, который улавливает в три раза больше света
Новости
ИИ научили предсказывать риск провала технологических новинок
Новости
Разработан нанопластырь с микроиглами, который может заменить биопсию
Наука
В глубинах Тихого океана обнаружили пауков, питающихся бактериями
Наука