Главная » Наука и технологии » Более 300 популярных Android-приложений оказались небезопасными
Дата публикации: 08.09.2020
Просмотров: 36



Более 300 популярных Android-приложений оказались небезопасными


Команда исследователей из Колумбийского университета разработала специальный инструмент для анализа приложений Android на соответствие требованиям к надёжности криптографического код. Разработка исследователей получила название CRYLOGGER — и с её помощью уже были обнаружены ошибки безопасности в более чем трёх сотнях популярных программ из Google Play.

CRYLOGGER

Согласно отчёту исследователей, из 1780 самых популярных в сентябре-октябре 2019 года Android-приложений 306 содержали серьёзные криптографические ошибки. При этом многим разработчикам удалось нарушить не одно, а сразу несколько правил создания приложений в соответствии с актуальными требованиями, оставив потенциальные «дыры» для злоумышленников в коде программ.

В тройку самых распространённых нарушений вошли:

  • Правило №1. Не используйте неработающие хеш-функции (SHA1, MD2, MD5 и так далее)
  • Правило № 4. Не используйте режим работы CBC (сценарии клиент/сервер)
  • Правило № 18. Не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел)

Учёные утверждают, что CRYLOGGER не использует статический анализ, поэтому ему не нужен код приложения. Примером найденной «ошибки» может служить использование короткого ключа в 512 бит для криптографического алгоритма (RSA) при рекомендуемом размере 2048 бит. По заявлению исследователей, это основные правила, которые любой криптограф должен знать хорошо. Примечательно, что только 18 из 306 разработчиков приложений ответили на запрос исследовательской группы, и лишь восемь согласились на сотрудничество с целью исправления указанных ошибок. Авторы алгоритма пока не опубликовали найденные уязвимости, сославшись на возможные попытки их эксплуатации против пользователей приложений.

Источник: zdnet.com