최근 보고서에 따르면 구글 플레이 스토어에 등록된 여러 인기 안드로이드 애플리케이션에서 암호화 버그가 발견되었습니다 . 컬럼비아 대학교 연구팀은 새로 개발한 암호 분석 도구를 사용하여 이러한 버그를 발견했습니다. 그러나 연구팀이 이 문제에 대해 보낸 이메일에 응답한 개발자는 소수에 불과했습니다.
306개의 인기 앱이 암호화 버그로 작동되었습니다
보도 에 따르면 , 연구진은 CRYLOGGER라는 새로운 도구를 사용하여 1,780개의 애플리케이션을 암호화 기준으로 검사되었으며 , 그 결과 306개의 애플리케이션에서 암호화 오류가 발견되었습니다.
규칙 18번, 1번, 4번이 가장 많이 위반된 것으로 나타났습니다. 규칙 18번은 개발자가 안전하지 않은 의사난수 생성기(PRNG)를 사용해서는 안 된다고 명시하고 있습니다. 규칙 1번은 MD2, MD5, SHA1 등과 같은 불안정한 해시 함수를 사용하지 말라고 경고하고 있으며, 규칙 4번은 CBC 모드(클라이언트/서버 시나리오)를 사용해서는 안 된다고 규정하고 있습니다.
연구원은 앱 개발자들이 실제로 사용할 수 있는 앱을 개발하기 전에 암호학자로서
현재 연락이 닿은 개발자는 8명뿐입니다
한편, 연구진은 암호화 취약점이 있는 앱 개발자들과 접촉했다고 밝혔습니다. 하지만 취약점이 아직 수정되지 않았기 때문에 dent 덧붙였습니다.
"모든 앱은 인기가 많습니다. 다운로드 횟수가 수십만 건에서 1억 건 이상에 이르기도 합니다. […] 하지만 안타깝게도 저희가 처음 보낸 이메일에 답장을 보낸 개발자는 18명뿐이었고, 그중 8명만이 여러 차례 연락을 취해 저희 조사 결과에 대한 유용한 피드백을 제공해 주었습니다."
