ПолiтДумка

Более 300 популярных Android-приложений оказались небезопасными

09 сентября
17:54 2020

Команда исследователей из Колумбийского университета разработала специальный инструмент для анализа приложений Android на соответствие требованиям к надёжности криптографического код. Разработка исследователей получила название CRYLOGGER — и с её помощью уже были обнаружены ошибки безопасности в более чем трёх сотнях популярных программ из Google Play.

1IJ6NMAbUkz1hqGoLtMr9IDVJTyfY7.png (204 KB)

Согласно отчёту исследователей, из 1780 самых популярных в сентябре-октябре 2019 года Android-приложений 306 содержали серьёзные криптографические ошибки. При этом многим разработчикам удалось нарушить не одно, а сразу несколько правил создания приложений в соответствии с актуальными требованиями, оставив потенциальные «дыры» для злоумышленников в коде программ.

В тройку самых распространённых нарушений вошли:

-Правило №1. Не используйте неработающие хеш-функции (SHA1, MD2, MD5 и так далее)
-Правило № 4. Не используйте режим работы CBC (сценарии клиент/сервер)
-Правило № 18. Не используйте небезопасный ГПСЧ (генератор псевдослучайных чисел)

Учёные утверждают, что CRYLOGGER не использует статический анализ, поэтому ему не нужен код приложения. Примером найденной «ошибки» может служить использование короткого ключа в 512 бит для криптографического алгоритма (RSA) при рекомендуемом размере 2048 бит. По заявлению исследователей, это основные правила, которые любой криптограф должен знать хорошо. Примечательно, что только 18 из 306 разработчиков приложений ответили на запрос исследовательской группы, и лишь восемь согласились на сотрудничество с целью исправления указанных ошибок. Авторы алгоритма пока не опубликовали найденные уязвимости, сославшись на возможные попытки их эксплуатации против пользователей приложений.

Источник: 4pda.ru


Warning: count(): Parameter must be an array or an object that implements Countable in /home/politdumkakiev/public_html/wp-content/themes/legatus-theme/includes/single/post-tags.php on line 5
Share

Статьи по теме

Последние новости

Кислиця в Радбезі ООН: Відповіддю на ядерний шантаж Кремля має стати посилення України

Читать всю статью

Мы в соцсетях

Наши партнеры

UA.TODAY - Украина Сегодня UA.TODAY

EA-LOGISTIC: Международные грузоперевозки – всегда своевременно и надежно!