全军覆没:Android主流应用普遍存在加密漏洞

哥伦比亚大学的研究人员近日发布了Crylogger,这是一种开放源代码动态分析工具,可检测Android应用程序中存在的加密漏洞。

成都创新互联是一家集网站建设,仲巴企业网站建设,仲巴品牌网站建设,网站定制,仲巴网站建设报价,网络营销,网络优化,仲巴网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

[[341381]]

研究者用Crylogger测试了Google Play商店中1780个流行的Android应用程序,涵盖了流行的信息流媒体、文件和密码管理器、身份验证应用程、个人通讯等多种应用,结果令人震惊,几乎所有Android应用都存在加密漏洞:

  • 所有受测应用都违反26条加密规则中的至少一项
  • 1775个应用使用了不安全的伪随机数生成器(PRNG)
  • 1764个应用使用了损坏的哈希函数(SHA1、MD2、MD5等)
  • 1076个应用程序使用CBC操作模式(在客户端-服务器方案中容易受到填充oracle攻击的影响)
  • 820个应用程序使用静态对称加密密钥(硬编码)

关于Crylogger

接受检测的每个带有工具化密码库的应用程序都在Crylogger中运行,该工具记录程序执行期间传递给密码API的参数,然后使用密码规则列表离线检查其合法性。

研究人员解释说:“加密(密码)算法是所有安全系统的基本组成部分:例如,加密哈希函数和加密算法可以保证诸如完整性和机密性之类的安全属性。”

“所谓加密滥用就是调用的加密API未遵守通用安全准则,例如由密码学家或NIST和IETF等组织建议的准则。”

为了确认可以真正利用Crylogger识别并标记加密漏洞,研究人员手动对28个经过测试的应用程序进行了反向工程,并发现其中14个确实容易受到攻击(即使某些问题可能被开发人员认为不在加密范围内,因为它们需要提升权限才能有效利用)。

双管齐下

通过对150个样本应用的对比测试,研究者发现Crylogger(动态分析工具)与CryptoGuard(检测Java应用程序加密滥用的一个开源静态分析工具)存在互补关系,前者漏掉的一些漏洞会被后者检测到,反之亦然。

研究人员建议开发者在应用在应用商店上架或发布之前,同时使用以上两个工具对应用进行测试。

令人揪心的发现

如本文开头所述,太多的应用程序破坏了太多的加密规则。而且,太多的应用程序和库开发人员选择忽略这些问题。

研究人员通过电子邮件向306个违反9个或更多加密规则的Android应用程序开发人员发送了电子邮件:只有18个开发人员回覆,只有8个开发人员在第一封电子邮件后继续进行交流,并提供了有关其发现的有用反馈。他们还联系了流行的Android库的6位开发人员,并从其中2位获得了答案。

本文标题:全军覆没:Android主流应用普遍存在加密漏洞
分享地址:http://www.shufengxianlan.com/qtweb/news25/138375.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联