首頁 > 信息安全 > 正文

全軍覆沒:Android主流應用普遍存在加密漏洞

2020-09-10 10:04:21  來源:安全牛

摘要:哥倫比亞大學的研究人員近日發布了Crylogger,這是一種開放源代碼動態分析工具,可檢測Android應用程序中存在的加密漏洞。
關鍵詞: Android 漏洞
  哥倫比亞大學的研究人員近日發布了Crylogger,這是一種開放源代碼動態分析工具,可檢測Android應用程序中存在的加密漏洞。
 
  研究者用Crylogger測試了Google Play商店中1780個流行的Android應用程序,涵蓋了流行的信息流媒體、文件和密碼管理器、身份驗證應用程、個人通訊等多種應用,結果令人震驚,幾乎所有Android應用都存在加密漏洞:
 
  所有受測應用都違反26條加密規則中的至少一項
 
  1775個應用使用了不安全的偽隨機數生成器(PRNG)
 
  1764個應用使用了損壞的哈希函數(SHA1、MD2、MD5等)
 
  1076個應用程序使用CBC操作模式(在客戶端-服務器方案中容易受到填充oracle攻擊的影響)
 
  820個應用程序使用靜態對稱加密密鑰(硬編碼)
 
  關于Crylogger
 
  接受檢測的每個帶有工具化密碼庫的應用程序都在Crylogger中運行,該工具記錄程序執行期間傳遞給密碼API的參數,然后使用密碼規則列表離線檢查其合法性。
 
  研究人員解釋說:“加密(密碼)算法是所有安全系統的基本組成部分:例如,加密哈希函數和加密算法可以保證諸如完整性和機密性之類的安全屬性。”
 
  “所謂加密濫用就是調用的加密API未遵守通用安全準則,例如由密碼學家或NIST和IETF等組織建議的準則。”
 
  為了確認可以真正利用Crylogger識別并標記加密漏洞,研究人員手動對28個經過測試的應用程序進行了反向工程,并發現其中14個確實容易受到攻擊(即使某些問題可能被開發人員認為不在加密范圍內,因為它們需要提升權限才能有效利用)。
 
  雙管齊下
 
  通過對150個樣本應用的對比測試,研究者發現Crylogger(動態分析工具)與CryptoGuard(檢測Java應用程序加密濫用的一個開源靜態分析工具)存在互補關系,前者漏掉的一些漏洞會被后者檢測到,反之亦然。
 
  研究人員建議開發者在應用在應用商店上架或發布之前,同時使用以上兩個工具對應用進行測試。
 
  令人揪心的發現
 
  如本文開頭所述,太多的應用程序破壞了太多的加密規則。而且,太多的應用程序和庫開發人員選擇忽略這些問題。
 
  研究人員通過電子郵件向306個違反9個或更多加密規則的Android應用程序開發人員發送了電子郵件:只有18個開發人員回覆,只有8個開發人員在第一封電子郵件后繼續進行交流,并提供了有關其發現的有用反饋。他們還聯系了流行的Android庫的6位開發人員,并從其中2位獲得了答案。

第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
有谁不上班靠炒股赚钱 福彩3d钱王预测 日本股票指数走势图 幸运飞艇杀号最稳的办法 2020大乐透最新中奖规则 002349股票分析 全国22选5走势图表 重庆快乐10分开奖查询 辽宁11选5任选基本走势图 四川快乐十二号码查询 体彩环岛赛开奖查询