306 個 Android 加密漏洞無一被修復，其中包括上億次下載量應用

技術(shù)編輯：芒果果丨發(fā)自 思否編輯部
SegmentFault 思否報道丨公眾號：SegmentFault

Android 是目前全球應用最廣泛的兩大操作系統(tǒng)之一，如果它出現(xiàn)重大的安全漏洞問題，無疑會對全球超過 10 億用戶造成嚴重的威脅。

為了可以動態(tài)分析 Android 應用程序，查看它們是否以不安全的方式使用密碼，哥倫比亞大學的一個學術(shù)團隊開發(fā)了一種自定義工具——CRYLOGGER。

CRYLOGGER 測試了 1780 個 Android 應用程序后，發(fā)現(xiàn)其中 306 個存在加密漏洞。

研究人員說，雖然一些加密漏洞存在于應用程序的代碼中，但一些常見的漏洞也被引入到作為應用程序一部分的 Java 庫中。

幾百款應用程序違法基本加密規(guī)則

CRYLOGGER 檢查了 26 條基本的加密規(guī)則，發(fā)現(xiàn)了這 306 個應用程序中的漏洞，其中一些應用程序只違反了一條規(guī)則，有些則是違反了多條規(guī)則。

這些被違反的規(guī)則中出現(xiàn)頻率最高的是：

• 規(guī)則 # 18-1,775 應用程序-不要使用不安全的 PRNG （偽隨機數(shù)生成器）
• 規(guī)則 # 1-1,764 應用程序-不要使用損壞的哈希函數(shù)（SHA1，MD2，MD5，等等）
• 規(guī)則 # 4-1,076應用程序-不要使用 CBC (客戶端/服務器場景)操作模式

這些是任何密碼學家都非常熟悉的基本規(guī)則，但一些應用程序開發(fā)人員在進入應用程序開發(fā)領域之前，可能沒有研究過應用程序安全（AppSec）或高級加密技術(shù)，就不知道這些規(guī)則。

有關 CRYLOGGER 研究細節(jié)的論文將在明年的 IEEE 安全與隱私研討會上發(fā)表。

306 個應用程序無一被修復，其中包括上億次下載量的流行應用

哥倫比亞大學的學者們表示，在他們測試了這些應用程序之后，他們還聯(lián)系了出現(xiàn)漏洞的 306 個應用程序的開發(fā)人員，但只得到了 18 個團隊的回復，但這些漏洞并未被修復。

研究人員說，“存在漏洞的應用程序都很受歡迎，它們的下載量從幾十萬次到上億次不等。但不幸的是，只有 18 位開發(fā)者回復了我們的第一封郵件，其中只有 8 位回復了我們多次，對我們的發(fā)現(xiàn)提供了有用的反饋。”

研究人員表示，他們也聯(lián)系了六個流行的 Android 庫的開發(fā)者，但也只有兩個團隊回復了他們。

由于沒有開發(fā)者修復他們的應用程序和庫，研究人員并沒有公布這些易受攻擊的應用程序和庫的名稱，理由是這些應用程序的用戶可能遭到利用。

CRYLOGGER 可與 CryptoGuard 互補使用

哥倫比亞大學的研究團隊認為，他們已經(jīng)構(gòu)建了一個強大的工具，可以作為 CryptoGuard 的補充工具被 Android 開發(fā)者可靠地使用。

這兩個工具是互補的，因為 CryptoGuard 是一個靜態(tài)分析器（在執(zhí)行之前分析源代碼），而 CRYLOGGER 是一個動態(tài)分析工具（在執(zhí)行時分析代碼）。

由于這兩種方法在不同的層面上進行研究，學者們認為這兩種方法都可以在應用程序代碼到達用戶設備之前，在 Android 應用程序中檢測到與密碼技術(shù)相關的總線。

和 CryptoGuard 一樣，CRYLOGGER 的代碼也可以在 GitHub 上獲得。