Einem aktuellen Bericht zufolge wiesen mehrere beliebte Android-Apps aus dem Google Play Store Krypto-Sicherheitslücken auf . Ein Forscherteam der Columbia University entdeckte diese mithilfe eines neu entwickelten kryptografischen Analysetools. Allerdings reagierten nur wenige Entwickler auf die Anfragen der Forscher bezüglich der Entwicklung.
306 beliebte Apps, die mit Krypto-Bugs betrieben werden
Mithilfe des neuen Tools CRYLOGGER analysierten Forscher laut einem ZDNet- Bericht 1.780 Apps Die Apps wurden anhand von 26 grundlegenden Kryptografieregeln . Dabei wurden jedoch bei 306 Apps Kryptofehler entdeckt, da diese gegen die Regeln verstießen.
Die Regeln Nr. 18, 1 und 4 wurden laut den Forschern am häufigsten verletzt. Regel Nr. 18 besagt, dass Entwickler keine unsicheren Pseudozufallszahlengeneratoren verwenden dürfen. Regel Nr. 1 warnt Entwickler ebenfalls davor, unsichere Hash-Funktionen wie MD2, MD5, SHA1 usw. zu verwenden, während Regel Nr. 4 besagt, dass Entwickler den Betriebsmodus CBC (Client/Server-Szenarien) nicht nutzen sollten.
als Kryptographen über gute Kenntnisse dieser Regeln verfügen sollten, bevor sie überhaupt mit der Entwicklung nutzbarer Apps beginnen.
Nur acht Entwickler stehen in Kontakt
Die Forscher gaben an, die Entwickler der Apps mit den Krypto-Sicherheitslücken kontaktiert zu haben. Da die Sicherheitslücken jedoch noch nicht behoben wurden, verzichteten die Forscher darauf, die dent der Apps zu veröffentlichen, um Missbrauch zu vermeiden. Sie fügten hinzu:
„Alle Apps sind beliebt: Sie verzeichnen Hunderttausende bis über 100 Millionen Downloads. […] Leider haben nur 18 Entwickler auf unsere erste Anfrage per E-Mail geantwortet, und nur 8 von ihnen haben uns mehrfach kontaktiert und uns nützliches Feedback zu unseren Ergebnissen gegeben.“
