哥伦比亚大学的研究人员在306款安卓应用中发现了加密漏洞

最近的一份报告显示， 谷歌应用商店中一些热门安卓应用存在加密漏洞。哥伦比亚大学的一个研究团队利用新开发的加密分析工具发现了这些漏洞。然而，只有少数开发者回复了研究人员关于此事的邮件。 

306款热门应用利用加密漏洞运行

据ZDNet 9月8日报道，研究人员使用名为CRYLOGGER的新工具，分析了Google Play商店中30多个类别的1780个应用程序。这些应用程序根据26条基本的加密 规则进行检查。然而，研究人员发现其中306个应用程序存在加密漏洞，违反了这些规则。

第 18 条、第 1 条和第 4 条规则 存在的问题最为严重。第 18 条规则规定开发者不应使用不安全的伪随机数生成器（PRNG）。第 1 条规则也警告开发者不要使用任何存在安全漏洞的哈希函数，例如 MD2、MD5、SHA1 等。而第 4 条规则则规定开发者不应使用 CBC 操作模式（客户端/服务器架构）。

研究人员认为，应用程序开发人员在着手开发可用应用程序之前，应该像密码学家一样对这些规则有很好的了解。

只有八位开发商联系我们

与此同时，研究人员表示，他们已联系了存在加密漏洞的应用程序的开发者。然而， 这些漏洞尚未修复， 因此研究人员没有公布dent，以免被利用。他们补充道：

“所有应用都很受欢迎：下载量从几十万次到超过一亿次不等。[…] 遗憾的是，只有 18 位开发者回复了我们的第一封邮件，其中只有 8 位开发者多次跟进，并就我们的调查结果提供了有用的反馈。”