最近的一份报告显示,谷歌应用商店中几款热门安卓应用存在加密漏洞。哥伦比亚大学的一个研究团队利用新开发的加密分析工具发现了这些漏洞。然而,只有少数开发者回复了研究人员关于此事的邮件。
306款热门应用利用加密漏洞运行
据ZDNet 报道,研究人员使用名为CRYLOGGER的新工具,分析了1780个应用程序这些应用程序根据26条基本的加密规则进行检查。然而,研究人员发现其中306个应用程序存在加密漏洞,违反了这些规则。
第 18 条、第 1 条和第 4 条规则存在的问题最为严重。第 18 条规定开发者不应使用不安全的伪随机数生成器 (PRNG)。第 1 条也警告开发者不要使用任何存在安全漏洞的哈希函数,例如 MD2、MD5、SHA1 等。而第 4 条则规定开发者不应使用 CBC 操作模式(客户端/服务器架构)。
研究人员认为,应用程序开发人员在着手开发可用应用程序之前,像密码学家一样
只有八位开发商联系我们
与此同时,研究人员表示,他们已联系了存在加密漏洞的应用程序的开发者。然而,这些漏洞尚未修复,因此研究人员没有公布dent,以免被利用。他们补充道:
“所有应用都很受欢迎:下载量从几十万次到超过一亿次不等。[…] 遗憾的是,只有 18 位开发者回复了我们的第一封邮件,其中只有 8 位开发者多次跟进,并就我们的调查结果提供了有用的反馈。”
