FreeBuf|1780个流行Android应用程序全都违反加密规则
应用程序都安全吗?
哥伦比亚大学的研究人员发布了一开源代码动态分析工具Crylogger , 可以用来检测哪些Android应用程序存在加密漏洞 。
测试了Google Play商店中1780个流行的Android应用程序后 , 结果令人震惊:
所有应用都违反26条加密规则中的至少一项
1775个应用使用了不安全的伪随机数生成器(PRNG)
1764个应用使用了损坏的哈希函数(SHA1 , MD2 , MD5等)
1076个应用程序使用CBC操作模式(在客户端-服务器方案中容易受到填充oracle攻击的影响)
820个应用程序使用静态对称加密密钥(硬编码)
本文插图
关于Crylogger每个测试过的应用程序都有一个运行在Crylogger中的加密库 , 它会记录在执行过程中传递给加密api的参数 , 然后使用加密规则列表离线检查它们的合法性和安全性 。
本文插图
【FreeBuf|1780个流行Android应用程序全都违反加密规则】加密是安全系统的基础组成部分 , 例如加密哈希函数和加密算法可以保证网络的完整性和机密性等属性 。 而以上这些应用程序并没有遵守常见的加密安全准则 。
为了确认Crylogger标记的加密漏洞是否可以被利用 , 研究人员对测试的28个应用程序进行了人工逆向工程 , 发现其中14个容易受到攻击(部分需要提升权限才能有效利用) 。
危害显而易见 。 但当研究人员给306个违反9条以上密码规则的安卓应用程序的开发者发了通知邮件时 , 却只有18名开发者回复 , 仅8名开发者在第一封邮件后继续交流 , 并提供了有用的反馈 。
目前 , 研究人员选择不透露易受攻击的应用程序的名称 , 避免给攻击者可乘之机 , 但他们分享的信息足以表明这些问题影响到所有类型的应用程序:从媒体流和报纸应用程序到文件和密码管理器、身份验证应用程序、消息传递应用程序等等 。
参考来源helpnetsecurity
本文插图
本文插图
推荐阅读
- 新冠病毒|“很快,世界就会知道是什么引发了新冠病毒大流行”
- 在西方流行的牛排,其实起源于亚洲,为何亚洲人没吃牛排的习惯
- 番茄别再炒蛋了!全网都流行这么吃,一焖就搞定
- 大骨节病|“消灭”大骨节病:5年30多次进藏,如今已看不到流行的趋势
- 北斗三号系统|北斗三号系统满足指标要求!服务能力步入世界一流行列
- 流行性感冒|如何不被感冒拖累,除了接种疫苗,还有这8件事可做
- 甘蔗|就让“清明蔗,毒如蛇”的流行说法终结于此吧
- 流行性腮腺炎|警惕!近期高发!疾控部门重要提醒!
- covid-19|2021年初COVID-19大流行的优先事项
- 毒品|那些年在山西流行过的特色毒品,土料子、长治筋、烫片片、忽悠悠