باحثون من جامعة كولومبيا يكتشفون ثغرات في 306 تطبيق أندرويد

أظهر تقرير حديث أن العديد من تطبيقات أندرويد الشائعة على متجر جوجل بلاي تحتوي على ثغرات أمنية في التشفير. تمكن فريق من الباحثين من جامعة كولومبيا من اكتشاف هذه الثغرات باستخدام أداة تحليل تشفيرية حديثة. مع ذلك، لم يستجب سوى عدد قليل من المطورين لرسائل الباحثين الإلكترونية بشأن هذا التطوير. 

306 تطبيقًا شائعًا تعمل بثغرات في العملات المشفرة

باستخدام أداة جديدة تُدعى CRYLOGGER، قام الباحثون بتحليل 1780 تطبيقًا من أكثر من 30 فئة على متجر جوجل بلاي، وفقًا لتقرير نشرته في 8 سبتمبر. وتم فحص التطبيقات بناءً على 26 قاعدة أساسية من التشفير . ومع ذلك، تم رصد 306 تطبيقات تحتوي على ثغرات في التشفير، حيث انتهكت هذه التطبيقات القواعد.

القواعد رقم 18 و1 و4 هي الأكثر انتهاكًا. تنص القاعدة رقم 18 على أنه لا ينبغي للمطورين استخدام مولدات الأرقام العشوائية الزائفة غير الآمنة. كما تحذر القاعدة رقم 1 المطورين من استخدام أي دالة تجزئة معيبة مثل MD2 وMD5 وSHA1 وغيرها، بينما تنص القاعدة رقم 4 على أنه لا ينبغي للمطورين استخدام وضع التشغيل CBC (سيناريوهات العميل/الخادم).

ورأى الباحث أن مطوري التطبيقات يجب أن يكون لديهم بالفعل معرفة جيدة بهذه القواعد كخبراء في علم التشفير قبل أن ينتقلوا حتى إلى تطوير تطبيقات قابلة للاستخدام. 

ثمانية مطورين فقط على اتصال

في غضون ذلك، أفاد الباحثون بأنهم تواصلوا مع مطوري التطبيقات التي تحتوي على ثغرات أمنية في العملات الرقمية. ومع ذلك، لم يتم إصلاح هذه الثغرات، ولذلك امتنع الباحثون عن نشر هويةdentالتطبيقات لتجنب استغلالها. وأضافوا:

جميع التطبيقات تحظى بشعبية واسعة، إذ تراوحت عمليات تنزيلها بين مئات الآلاف وأكثر من 100 مليون. [...] لسوء الحظ، لم يستجب سوى 18 مطورًا لطلبنا الأول عبر البريد الإلكتروني، ولم يتواصل معنا سوى 8 منهم عدة مرات، مقدمين ملاحظات قيّمة حول نتائجنا