コロンビア大学の研究者がAndroidアプリ306個に暗号バグを発見

最近の報告によると、 Google Playストアで公開されている人気Androidアプリのいくつかに暗号技術の脆弱性が存在することが明らかになった。コロンビア大学の研究チームは、新たに開発した暗号解析ツールを用いてこれらの脆弱性を発見した。しかし、研究者らが開発状況についてメールで問い合わせたところ、回答を寄せた開発者はごく少数だった。 

暗号バグを抱えたまま運営されている人気アプリ306選

ZDNetの9月8日の報道によると、研究者たちはCRYLOGGERと呼ばれる新しいツールを用いて、 Google Playストア上の30以上のカテゴリーから1,780個のアプリケーションを分析した。アプリケーションは26の基本暗号化 ルールに基づいてチェックされたが、306個のアプリケーションにルール違反が見つかり、暗号関連のバグが見つかった。

ルール番号18、1、4が 最も違反されていた。ルール番号18は、開発者は安全でない擬似乱数生成器（PRNG）を使用すべきではないと規定している。ルール番号1は、MD2、MD5、SHA1などの欠陥のあるハッシュ関数を使用しないよう開発者に警告しており、ルール番号4は、開発者はCBC動作モード（クライアント/サーバーシナリオ）を使用すべきではないと規定している。

研究者は、アプリ開発者は、実用的なアプリの開発に着手する前に、暗号学者としてこれらのルールについて十分な知識をすでに持っているべきだと意見を述べた。

連絡を取っている開発者は8人だけ

一方、研究者らは、暗号バグを発見したアプリの開発者に連絡を取ったと述べています。しかし、 脆弱性は修正されていない ため、研究者らはdent。彼らはさらに次のように述べています。

「すべてのアプリは人気があり、ダウンロード数は数十万から1億回を超えています。[…] 残念ながら、最初のメールリクエストに回答してくれた開発者はわずか18社で、そのうち複数回返信して調査結果に関する有益なフィードバックを提供してくれたのは8社だけでした。」