Un recente rapporto ha dimostrato che diverse popolari applicazioni Android ospitate sul Google Play Store presentavano bug crittografici . Un team di ricercatori della Columbia University è riuscito a scoprirli utilizzando un nuovo strumento di analisi crittografica. Tuttavia, solo pochi sviluppatori hanno risposto alle email dei ricercatori in merito allo sviluppo.
306 app popolari gestite con bug crittografici
Utilizzando il nuovo strumento denominato CRYLOGGER, i ricercatori hanno analizzato 1.780 applicazioni di oltre 30 categorie sul Google Play Store, secondo un rapporto dell'8 settembre. Le applicazioni sono state controllate in base a 26 crittografiche . Tuttavia, 306 applicazioni sono state individuate con bug crittografici, poiché le app violavano le regole.
le regole numero 18, 1 e 4 sono state le più violate. La regola numero 18 stabiliva che gli sviluppatori non dovevano utilizzare PRNG (generatori di numeri pseudo-casuali) non sicuri. La regola numero 1 avvertiva inoltre gli sviluppatori di non utilizzare funzioni hash non sicure come MD2, MD5, SHA1 e altre, mentre la regola numero 4 imponeva agli sviluppatori di non utilizzare la modalità operativa CBC (scenari client/server).
Il ricercatore ha sostenuto che gli sviluppatori di app dovrebbero già avere una buona conoscenza di queste regole in quanto crittografi prima ancora di iniziare a sviluppare app utilizzabili.
Solo otto sviluppatori sono in contatto
Nel frattempo, i ricercatori hanno affermato di aver contattato gli sviluppatori delle app con bug crittografici. Tuttavia, le vulnerabilità non sono state risolte, motivo per cui i ricercatori si sono astenuti dal pubblicare l'identità dent tali app per evitare che venissero sfruttate. Hanno aggiunto:
“Tutte le app sono popolari: hanno avuto da centinaia di migliaia di download a più di 100 milioni. […] Purtroppo, solo 18 sviluppatori hanno risposto alla nostra prima email di richiesta e solo 8 di loro ci hanno ricontattato più volte fornendoci feedback utili sulle nostre scoperte.”
