10/09/20
Специалисты Колумбийского университета провели исследование на предмет безопасности Android-приложений. С помощью инструмента под названием CRYLOGGER исследователи протестировали надежность криптографического кода 1 780 популярных приложений для Android из интернет-каталога Google Play Store и пришли к неутешительным выводам.
Как оказалось, 306 приложений содержали серьезные криптографические уязвимости. Самыми распространенными проблемами оказались использование небезопасного генератора псевдослучайных чисел, неработающие хеш-функции, использование режима работы CBC, повторное использование паролей (в том числе ненадежных) и пр.
Исследователи попытались связаться с разработчиками проблемного программного обеспечения, однако на сообщение ученых отреагировали лишь 18 из 306 производителей и только 8 из них оказались готовы к сотрудничеству в целях исправления уязвимости.
По словам исследователей, некоторые уязвимости присутствовали в программном коде, но ряд проблем был связан с уязвимыми Java-библиотеками в составе приложений. Специалисты отправили сообщения об уязвимостях разработчикам шести популярных библиотек, но только в двух случаях получили ответ.
В целях безопасности авторы исследования решили не публиковать названия уязвимых приложений, поскольку ни в одном из них уязвимости не были исправлены.
