Un informe reciente ha demostrado que varias aplicaciones populares de Android alojadas en la tienda Google Play se han estado ejecutando con errores criptográficos . Un equipo de investigadores de la Universidad de Columbia pudo descubrirlos utilizando una herramienta de análisis criptográfico recién construida. Sin embargo, solo unos pocos desarrolladores respondieron a los correos electrónicos de los investigadores sobre el desarrollo.
306 aplicaciones populares operadas con errores criptográficos
Utilizando la nueva herramienta denominada CRYLOGGER, los investigadores analizaron 1780 aplicaciones de más de 30 categorías en Google Play Store, según un informe de ZDNet del 8 de septiembre. Las aplicaciones se verificaron según 26 reglas criptográficas Sin embargo, se detectaron 306 aplicaciones con errores criptográficos, ya que las aplicaciones rompieron las reglas.
Las reglas número 18, 1 y 4 fueron las más incumplidas, según los investigadores. La regla n.° 18 establece que los desarrolladores no deben usar PRNG inseguro (es decir, generador de números pseudoaleatorios). La regla n.º 1 también advirtió a los desarrolladores que no usen ninguna función hash rota, como MD2, MD5, SHA1 y más, mientras que la regla n.º 4 establece que los desarrolladores no deben usar el modo de operación CBC (escenarios de cliente/servidor).
El investigador opinó que los desarrolladores de aplicaciones ya deberían tener un buen conocimiento de estas reglas como criptógrafos antes de pasar a desarrollar aplicaciones utilizables.
Solo ocho desarrolladores están en contacto.
Mientras tanto, los investigadores dijeron que se pusieron en contacto con los desarrolladores detrás de las aplicaciones con errores criptográficos. Sin embargo, las vulnerabilidades no se han solucionado, razón por la cual los investigadores se abstuvieron de publicar la dent de esas aplicaciones para evitar ser explotadas. Agregaron:
“Todas las aplicaciones son populares: tienen desde cientos de miles de descargas hasta más de 100 millones. […] Desafortunadamente, solo 18 desarrolladores respondieron nuestro primer correo electrónico de solicitud y solo 8 de ellos nos siguieron varias veces y nos brindaron comentarios útiles sobre nuestros hallazgos”.