306个应用程序开发人员中只有18个回复了研究团队,在发送第一封电子邮件后,只有8个与该团队合作。
哥伦比亚大学的一个学术团队开发了一种自定义工具,可以动态分析Android应用程序,并查看它们是否以不安全的方式使用密码。
该工具名为 CRYLOGGER,于2019年9月和10月用于测试1,780个Android应用程序,这些应用程序代表33个不同Play商店类别中最受欢迎的应用程序。
研究人员说,该工具检查了26种基本加密规则,发现306个Android应用程序中存在错误。有些应用违反了一条规则,而其他则打破了多条规则。
最坏的三个规则是:
- 规则18-1,775个应用- 请勿使用不安全的PRNG (伪随机数生成器)
- 规则#1-1,764个应用- 请勿使用损坏的哈希函数 (SHA1,MD2,MD5等)
- 规则4-1,076个应用- 请勿使用CBC操作模式 (客户端/服务器方案)
这些是任何密码学家都非常了解的基本规则,但是某些应用程序开发人员在进入应用程序开发空间之前,如果没有研究应用程序安全性(AppSec)或高级加密技术,可能不会意识到这些规则。
306个应用开发人员中只有18个回复了研究团队
哥伦比亚大学的学者表示,在测试了这些应用程序之后,他们还联系了306个被发现容易受到攻击的Android应用程序的所有开发人员。
研究小组说:“所有的应用程序都很流行:它们的下载量从数十万增加到超过1亿。” “不幸的是, 只有18个开发人员回答了我们的第一封电子邮件 , 只有8 个开发人员回覆了 我们多次,为我们的发现提供了有用的反馈。”
虽然应用程序的代码中包含一些加密错误,但作为应用程序一部分的Java库的一部分,也引入了一些常见的错误。
研究人员说,他们还联系了六个流行的Android库的开发人员,但是就像以前一样,他们只从其中两个中得到了答案。
由于没有开发人员固定其应用程序和库,因此研究人员避免发布易受攻击的应用程序和库的名称,理由是可能会对应用程序的用户进行利用。
