哥伦比亚大学的研究人员发现306个Android应用程序中的加密错误

最近的报告显示Google Play商店上托管的几种流行的Android应用程序都已运行并带有加密错误。 来自哥伦比亚大学的一组研究人员能够使用新型的密码分析工具发现它们。 但是，只有少数开发人员回复了研究人员关于开发的电子邮件。

306个带有加密错误的流行应用

研究人员使用名为CRYLOGGER的新工具对1,780份申请根据9月8日的ZDNet报告，Google Play商店中有30多个类别的应用程序。这些应用程序是根据26种基本密码规则进行检查的。 但是，有306个应用程序发现了加密错误，因为这些应用程序违反了规则。

规则编号＃18，＃1和＃4根据研究人员的说法，它们是最破碎的。 规则18指出，开发人员不应使用不安全的PRNG（即伪随机数生成器）。 规则1还警告开发人员不要使用任何损坏的哈希函数，例如MD2，MD5，SHA1等，而规则4则认为开发人员不应使用操作模式CBC（客户端/服务器方案）。

研究人员认为应用程序开发人员应该已经对这些规则了如指掌作为密码学家在他们甚至开始开发可用的应用程序之前。

仅联系了八个开发人员

同时，研究人员表示，他们已经通过密码漏洞与应用程序背后的开发人员联系。 然而，漏洞尚未修复，这就是为什么研究人员避免发布这些应用程序的身份以避免被利用的原因。 他们补充说：

“所有应用程序都很流行：它们的下载量从数十万增加到超过1亿。 […] 不幸的是，只有18个开发人员回答了我们的第一封电子邮件，其中只有8个开发人员多次回覆我们，对我们的发现提供了有用的反馈。

—-

原文链接：https://www.cryptopolitan.com/researchers-uncover-crypto-bugs-in-apps/

原文作者：Ibiam Wayas

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。