Информатор Tech

Новости

Более 300 популярных Android-приложений оказались небезопасными

Команда исследователей из Колумбийского университета разработала специальный инструмент для анализа приложений Android на соответствие требованиям к надежности криптографического кода. Разработка исследователей получила название CRYLOGGER.

С помощью данной разработки уже удалось обнаружить ошибки безопасности в более чем трех сотнях популярных программ из Google Play. Об этом сообщает Информатор Tech, ссылаясь на Zdnet.

Согласно отчету исследователей, из 1 780 самых популярных в сентябре-октябре 2019 года Android-приложений 306 содержали серьезные криптографические ошибки. При этом многим разработчикам удалось нарушить не одно, а сразу несколько правил создания приложений в соответствии с актуальными требованиями, оставив потенциальные «дыры» для злоумышленников в коде программ. В тройку самых распространенных нарушений вошли нарушения следующих правил:

  • Правило №1. Не используйте неработающие хеш-функции (SHA1, MD2, MD5 и так далее)
  • Правило № 4. Не используйте режим работы CBC (сценарии клиент/сервер)
  • Правило № 18. Не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел)
Более 300 популярных Android-приложений оказались небезопасными

Более 300 популярных Android-приложений оказались небезопасными

Ученые утверждают, что CRYLOGGER не использует статический анализ, поэтому ему не нужен код приложения. Примером найденной «ошибки» может служить использование короткого ключа в 512 бит для криптографического алгоритма (RSA) при рекомендуемом размере 2048 бит. По заявлению исследователей, это основные правила, которые любой криптограф должен знать хорошо. Примечательно, что только 18 из 306 разработчиков приложений ответили на запрос исследовательской группы, и лишь восемь согласились на сотрудничество с целью исправления указанных ошибок. Авторы алгоритма пока не опубликовали найденные уязвимости, сославшись на возможные попытки их эксплуатации против пользователей приложений.

Ранее мы сообщали, что Италия начала антимонопольное расследование в отношении облачных сервисов Apple, Google и Dropbox. Также писали о том, что энтузиаст запустил Doom и Skyrim на тесте на беременность.

Алексей Турчак

загрузка...
Наверх