Более 300 популярных Android-приложений оказались небезопасными
Команда исследователей из Колумбийского университета разработала специальный инструмент для анализа приложений Android на соответствие требованиям к надежности криптографического код. Разработка исследователей получила название CRYLOGGER - и с ее помощью уже были обнаружены ошибки безопасности в более чем трех сотнях популярных программ из Google Play.
Согласно отчету исследователей, из 1780 самых популярных в сентябре-октябре 2019 года Android-приложений 306 содержали серьезные криптографические ошибки. При этом многим разработчикам удалось нарушить не одно, а сразу несколько правил создания приложений в соответствии с актуальными требованиями, оставив потенциальные "дыры" для злоумышленников в коде программ.
В тройку самых распространенных нарушений вошли:
-Правило №1. Не используйте неработающие хеш-функции (SHA1, MD2, MD5 и так далее)
-Правило № 4. Не используйте режим работы CBC (сценарии клиент/сервер)
-Правило № 18. Не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел)
Ученые утверждают, что CRYLOGGER не использует статический анализ, поэтому ему не нужен код приложения. Примером найденной "ошибки" может служить использование короткого ключа в 512 бит для криптографического алгоритма (RSA) при рекомендуемом размере 2048 бит. По заявлению исследователей, это основные правила, которые любой криптограф должен знать хорошо. Примечательно, что только 18 из 306 разработчиков приложений ответили на запрос исследовательской группы, и лишь восемь согласились на сотрудничество с целью исправления указанных ошибок. Авторы алгоритма пока не опубликовали найденные уязвимости, сославшись на возможные попытки их эксплуатации против пользователей приложений.
