Android 是目前全球应用最广泛的两大操作系统之一,如果它出现重大的安全漏洞问题,无疑会对全球超过 10 亿用户造成严重的威胁。
为了可以动态分析 Android 应用程序,查看它们是否以不安全的方式使用密码,哥伦比亚大学的一个学术团队开发了一种自定义工具——CRYLOGGER。
CRYLOGGER 测试了 1780 个 Android 应用程序后,发现其中 306 个存在加密漏洞。
研究人员说,虽然一些加密漏洞存在于应用程序的代码中,但一些常见的漏洞也被引入到作为应用程序一部分的 Java 库中。
几百款应用程序违法基本加密规则
CRYLOGGER 检查了 26 条基本的加密规则,发现了这 306 个应用程序中的漏洞,其中一些应用程序只违反了一条规则,有些则是违反了多条规则。
这些被违反的规则中出现频率最高的是:
- 规则 # 18-1,775 应用程序-不要使用不安全的 PRNG (伪随机数生成器)
- 规则 # 1-1,764 应用程序-不要使用损坏的哈希函数(SHA1,MD2,MD5,等等)
- 规则 # 4-1,076应用程序-不要使用 CBC (客户端/服务器场景)操作模式
这些是任何密码学家都非常熟悉的基本规则,但一些应用程序开发人员在进入应用程序开发领域之前,可能没有研究过应用程序安全(AppSec)或高级加密技术,就不知道这些规则。
有关 CRYLOGGER 研究细节的论文将在明年的 IEEE 安全与隐私研讨会上发表。
306 个应用程序无一被修复,其中包括上亿次下载量的流行应用
哥伦比亚大学的学者们表示,在他们测试了这些应用程序之后,他们还联系了出现漏洞的 306 个应用程序的开发人员,但只得到了 18 个团队的回复,但这些漏洞并未被修复。
研究人员说,“存在漏洞的应用程序都很受欢迎,它们的下载量从几十万次到上亿次不等。但不幸的是,只有 18 位开发者回复了我们的第一封邮件,其中只有 8 位回复了我们多次,对我们的发现提供了有用的反馈。”
研究人员表示,他们也联系了六个流行的 Android 库的开发者,但也只有两个团队回复了他们。
由于没有开发者修复他们的应用程序和库,研究人员并没有公布这些易受攻击的应用程序和库的名称,理由是这些应用程序的用户可能遭到利用。
CRYLOGGER 可与 CryptoGuard 互补使用
哥伦比亚大学的研究团队认为,他们已经构建了一个强大的工具,可以作为 CryptoGuard 的补充工具被 Android 开发者可靠地使用。
这两个工具是互补的,因为 CryptoGuard 是一个静态分析器(在执行之前分析源代码),而 CRYLOGGER 是一个动态分析工具(在执行时分析代码)。
由于这两种方法在不同的层面上进行研究,学者们认为这两种方法都可以在应用程序代码到达用户设备之前,在 Android 应用程序中检测到与密码技术相关的总线。
和 CryptoGuard 一样,CRYLOGGER 的代码也可以在 GitHub 上获得。
android
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。