最近の報告によると、 Google Playストアでホストされている複数の人気Androidアプリに暗号バグが潜んでいることが明らかになりました。コロンビア大学の研究チームは、新たに開発された暗号解析ツールを用いてこれらのバグを発見しました。しかし、この件に関する研究者へのメールに返信した開発者はごくわずかでした。
暗号バグを抱えたまま運営されている人気アプリ306選
報道によると、研究者たちはCRYLOGGERと呼ばれる新しいツールを用いて、 1,780個のアプリケーション暗号化に基づいてチェックされたが、306個のアプリケーションにルール違反が見つかり、暗号関連のバグが見つかった。
ルール18、1、4が最も破綻していた。ルール18は、開発者は安全でないPRNG(擬似乱数生成器)を使用してはならないと定めている。ルール1では、MD2、MD5、SHA1などの破綻したハッシュ関数を使用しないよう警告している。一方、ルール4では、開発者はCBC(クライアント/サーバーシナリオ)の動作モードを使用してはならないとしている。
研究者は、アプリ開発者は、実用的なアプリの開発に着手する前に、暗号学者として
連絡を取っている開発者は8人だけ
一方、研究者らは、暗号バグを発見したアプリの開発者に連絡を取ったと述べています。しかし、脆弱性は修正されていないため、研究者らはdent。彼らはさらに次のように述べています。
「すべてのアプリは人気があり、ダウンロード数は数十万から1億回を超えています。[…] 残念ながら、最初のメールリクエストに回答してくれた開発者はわずか18社で、そのうち複数回返信して調査結果に関する有益なフィードバックを提供してくれたのは8社だけでした。」
