В приложениях Android обнаружили множество криптографических ошибок
Американские исследователи разработали инструмент CRYLOGGER для поиска ошибок в использовании криптографии приложениями Android, которые могут привести к утечке данных. CRYLOGGER запускает приложение и использует фактические параметры вместо анализа его кода. Ученые проверили инструмент на 1780 популярных приложениях и обнаружили, что многие их них не соответствуют стандартам безопасности. Результаты работы были представлены на конференции IEEE Symposium on Security and Privacy.
Ученые из Колумбийской школы инженерных и прикладных наук в Нью-Йорке впервые показали, что можно проанализировать, как приложения Android используют криптографию, не рассматривая их коды. Созданный исследователями алгоритм CRYLOGGER обнаруживает нарушения правил, разработанных криптографами Национального института стандартов и технологий и Инженерного совета интернета, которым необходимо следовать для безопасной криптографии и защиты данных.
Приложения Android используют криптографические алгоритмы для защиты данных пользователей, таких как номера кредитных карт и пароли. Однако разработчики приложений и библиотек могут использовать постоянные ключи шифрования, слабые пароли или неправильно настроенные параметры, что может привести к утечке данных.
CRYLOGGER может анализировать приложения с закрытым исходным кодом и не требует изменения самого кода приложения. Кроме того, он использует фактические параметры приложения; вместо того чтобы анализировать их исходный код, он сосредоточен только на выполняемом коде. CRYLOGGER также может определить, когда два приложения обмениваются информацией небезопасными способами или когда данные неправильно используются несколькими приложениями одновременно.
Исследователи проверили 1780 популярных приложений Android, загруженных из официального магазина Google Play, и обнаружили, что больше половины не полностью соответствуют стандартам безопасности. Многие приложения используют неработающие алгоритмы, а другие применяют небезопасные методы шифрования. Исследователи связались более чем c 300 разработчиками, но только 10 предоставили отзывы. CRYLOGGER могут использовать как разработчики приложений, так и магазины, такие как Google Play. Теперь исследователи работают над повышением точности CRYLOGGER.
Понравился материал? Добавьте Indicator.Ru в «Мои источники» Яндекс.Новостей и читайте нас чаще.