Инструмент CRYLOGGER был использован для тестирования 1 780 приложений Android. Cамые популярные приложения оценивались в сентябре и октябре 2019 года учеными Колумбийского университета.
Исследователи заявили, что инструмент, который проверил 26 основных правил криптографии, обнаружил ошибки в 306 приложениях Android. Некоторые приложения нарушают одно правило, а другие — несколько.
В тройку самых нарушаемых правил вошли:
- правило № 18 — 1 775 приложений: не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел);
- правило № 1 — 1 764 приложения: не используйте неработающие хеш-функции (SHA1, MD2, MD5 и т. д.);
- правило № 4 — 1 076 приложений: не используйте режим работы CBC (сценарии клиент/сервер).
Это основные правила, которые хорошо знает любой криптограф, но правила, о которых некоторые разработчики приложений могут не знать, не изучив безопасность приложений (AppSec) или расширенную криптографию перед тем, как войти в область разработки приложений.
Ученые Колумбийского университета заявили, что после тестирования они также связались со всеми разработчиками 306 приложений для Android, которые оказались уязвимыми.
«Все приложения популярны: у них от сотен тысяч загрузок до более 100 млн, — заявила исследовательская группа. — К сожалению, только 18 разработчиков ответили на наше первое электронное письмо с запросом, и только 8 из них неоднократно отвечали нам, давая полезные отзывы о наших результатах».
Поскольку ни один из разработчиков не исправил свои приложения и библиотеки, исследователи воздержались от публикации названий уязвимых приложений и библиотек, сославшись на возможные попытки эксплуатации против пользователей приложений.
Читать также
Посмотрите на 3D-карту Вселенной: ее составляли 20 лет и она уже удивила ученых
Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19
Выяснилось, что заставило цивилизацию майя покинуть свои города