哥倫比亞大學研究:多個熱門 Android App沒有遵守基本資料加密原則,而且未修正.png

哥倫比亞大學的一組資安研究團隊指出,該團隊分析了 1,780 個不同的 Android 熱門行動應用程式,發現其中多個 App 並未遵守一些最基本的資料加密原則,而且未修復。

哥倫比亞大學的一組資安研究團隊,近日在 IEEE 計算計科學會刊上發表研究報告,指出該團隊利用自行開發的分析工具,分析了 1,780 個不同的 Android 熱門行動應用程式,發現其中多個 App 並未遵守一些最基本的資料加密原則,而且從未修復。

該團隊開發的分析工具稱為 CRYLOGGER,會檢查 26 種基本的資料加密原則;在該工具分析的 1,780 個 Android 熱門 App 中,有 1,775 個使用不安全的 PRNG 亂數產生器;1,764 個使用了較弱的雜湊演算法(如 SHA1、MD2、MD5 等);另外有 1,076 個 App 使用較弱的區塊加密法工作模式。

研究報告指出,大多數受檢的 Android App 都沒有遵守這 26 種最基本的資料加密原則,而被點名的 306 個 App 的情況尤其嚴重到已經成為資安漏洞等級。

這批 306 個 App 均屬 Google Play Store 上的熱門 App,下載安裝次數由數十萬次到超過一億次不等。研究團隊向這 306 個熱門 App 的開發者發出資安通報,說明檢測出的問題;但只有 18 個開發者回覆,其中有 8 個開發者後續與研究團隊進行連繫。

研究團隊也說,有部分加密問題是來自 App 程式碼呼叫的 Java 程式庫;該團隊也向其中六個熱門程式庫的開發者發出通報。


  • 參考連結

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1mbmHwIxTb2/pdf

https://www.zdnet.com/article/academics-find-crypto-bugs-in-306-popular-android-apps-none-get-patched/

    twcert 發表在 痞客邦 留言(0) 人氣()