Forscher der Columbia University entdecken Krypto-Fehler in 306 Android-Apps

Einem aktuellen Bericht zufolge wiesen mehrere beliebte Android-Apps aus dem Google Play Store Krypto-Sicherheitslücken auf. Ein Forscherteam der Columbia University entdeckte diese mithilfe eines neu entwickelten kryptografischen Analysetools. Allerdings reagierten nur wenige Entwickler auf die Anfragen der Forscher bezüglich der Entwicklung. 

306 beliebte Apps, die mit Krypto-Bugs betrieben werden

Mithilfe des neuen Tools CRYLOGGER analysierten Forscher laut einem ZDNet- Bericht vom 8. September 1.780 Apps aus über 30 Kategorien des Google Play Stores. Die Apps wurden anhand von 26 grundlegenden Kryptografieregeln geprüft . Dabei wurden jedoch bei 306 Apps Kryptofehler entdeckt, da diese gegen die Regeln verstießen.

Die Regeln Nr. 18, 1 und 4 wurden laut den Forschern am häufigsten verletzt. Regel Nr. 18 besagt, dass Entwickler keine unsicheren Pseudozufallszahlengeneratoren verwenden dürfen. Regel Nr. 1 warnt Entwickler ebenfalls davor, unsichere Hash-Funktionen wie MD2, MD5, SHA1 usw. zu verwenden, während Regel Nr. 4 besagt, dass Entwickler den Betriebsmodus CBC (Client/Server-Szenarien) nicht nutzen sollten.

Der Forscher vertrat die Ansicht, dass die App-Entwickler bereits als Kryptographen über gute Kenntnisse dieser Regeln verfügen sollten, bevor sie überhaupt mit der Entwicklung nutzbarer Apps beginnen.

Nur acht Entwickler stehen in Kontakt

Die Forscher gaben an, die Entwickler der Apps mit den Krypto-Sicherheitslücken kontaktiert zu haben. Da die Sicherheitslücken jedoch noch nicht behoben wurden, verzichteten die Forscher darauf, diedentder Apps zu veröffentlichen, um Missbrauch zu vermeiden. Sie fügten hinzu:

„Alle Apps sind beliebt: Sie verzeichnen Hunderttausende bis über 100 Millionen Downloads. […] Leider haben nur 18 Entwickler auf unsere erste Anfrage per E-Mail geantwortet, und nur 8 von ihnen haben uns mehrfach kontaktiert und uns nützliches Feedback zu unseren Ergebnissen gegeben.“