共计 1173 个字符,预计需要花费 3 分钟才能阅读完成。
Android 是目前寰球利用最宽泛的两大操作系统之一,如果它呈现重大的安全漏洞问题,无疑会对寰球超过 10 亿用户造成重大的威逼。
为了能够动态分析 Android 应用程序,查看它们是否以不平安的形式应用明码,哥伦比亚大学的一个学术团队开发了一种自定义工具——CRYLOGGER。
CRYLOGGER 测试了 1780 个 Android 应用程序后,发现其中 306 个存在加密破绽。
钻研人员说,尽管一些加密破绽存在于应用程序的代码中,但一些常见的破绽也被引入到作为应用程序一部分的 Java 库中。
几百款应用程序守法根本加密规定
CRYLOGGER 查看了 26 条根本的加密规定,发现了这 306 个应用程序中的破绽,其中一些应用程序只违反了一条规定,有些则是违反了多条规定。
这些被违反的规定中呈现频率最高的是:
- 规定 # 18-1,775 应用程序 - 不要应用不平安的 PRNG(伪随机数生成器)
- 规定 # 1-1,764 应用程序 - 不要应用损坏的哈希函数(SHA1,MD2,MD5,等等)
- 规定 # 4-1,076 应用程序 - 不要应用 CBC (客户端 / 服务器场景) 操作模式
这些是任何明码学家都十分相熟的根本规定,但一些应用程序开发人员在进入利用程序开发畛域之前,可能没有钻研过应用程序平安(AppSec)或高级加密技术,就不晓得这些规定。
无关 CRYLOGGER 钻研细节的论文将在明年的 IEEE 平安与隐衷研讨会上发表。
306 个应用程序无一被修复,其中包含上亿次下载量的风行利用
哥伦比亚大学的学者们示意,在他们测试了这些应用程序之后,他们还分割了呈现破绽的 306 个应用程序的开发人员,但只失去了 18 个团队的回复,但这些破绽并未被修复。
钻研人员说,“存在破绽的应用程序都很受欢迎,它们的下载量从几十万次到上亿次不等。但可怜的是,只有 18 位开发者回复了咱们的第一封邮件,其中只有 8 位回复了咱们屡次,对咱们的发现提供了有用的反馈。”
钻研人员示意,他们也分割了六个风行的 Android 库的开发者,但也只有两个团队回复了他们。
因为没有开发者修复他们的应用程序和库,钻研人员并没有颁布这些易受攻击的应用程序和库的名称,理由是这些应用程序的用户可能受到利用。
CRYLOGGER 可与 CryptoGuard 互补应用
哥伦比亚大学的钻研团队认为,他们曾经构建了一个弱小的工具,能够作为 CryptoGuard 的补充工具被 Android 开发者牢靠地应用。
这两个工具是互补的,因为 CryptoGuard 是一个动态分析器(在执行之前剖析源代码),而 CRYLOGGER 是一个动态分析工具(在执行时剖析代码)。
因为这两种办法在不同的层面上进行钻研,学者们认为这两种办法都能够在利用程序代码达到用户设施之前,在 Android 应用程序中检测到与明码技术相干的总线。
和 CryptoGuard 一样,CRYLOGGER 的代码也能够在 GitHub 上取得。