- การเปรียบเทียบ
- บทเรียน
- แอพ Android หลายร้อยรายการอาจมีหนึ่งในข้อบกพร่องของการเข้ารหัสลับที่น่ารังเกียจเหล่านี้
พบว่าแอป Android ยอดนิยมจำนวนมากใช้โค้ดเข้ารหัสในทางที่ผิด ซึ่งอาจทำให้ผู้ใช้และอุปกรณ์ตกอยู่ในความเสี่ยง นักวิจัยจากมหาวิทยาลัยโคลัมเบียได้ค้นพบข้อบกพร่องที่สำคัญหลายประการในแอปพลิเคชันหลายประเภท ซึ่งพวกเขาเชื่อว่าแสดงให้เห็นว่านักพัฒนาจำนวนมากใช้โค้ดเข้ารหัสในรูปแบบที่ไม่ปลอดภัย ทีมงานพบข้อบกพร่องหรือข้อบกพร่องในแอป Android หลายร้อยแอป โดยผู้ร้ายบางรายฝ่าฝืนกฎหลายข้อเพื่อใช้โค้ดนี้อย่างถูกต้อง ซึ่งแสดงให้เห็นว่าโลกส่วนใหญ่ยังคงต้องเข้าใจหลักเกณฑ์พื้นฐาน อุตสาหกรรมการพัฒนาอุปกรณ์เคลื่อนที่
ข้อบกพร่องของ Android
เพื่อดำเนินการวิจัย ทีมโคลัมเบียได้พัฒนาเครื่องมือที่กำหนดเองชื่อ CRYLOGGER ซึ่งสามารถสแกนแอป Android เพื่อหากฎพื้นฐานการเข้ารหัส 26 ข้อ รวมถึงหลักเกณฑ์เช่น อย่าใช้รหัสผ่านที่ไม่รัดกุม การเข้ารหัสที่ใช้งานไม่ได้ และอย่าใช้ HTTPS โดยรวมแล้ว CRYLOGGER ได้รับการทดสอบบนแอป Android ที่ได้รับความนิยมสูงสุดใน 33 หมวดหมู่ที่แตกต่างกันบน Google Play Store ในเดือนกันยายนและตุลาคม 2019 จากแอปที่ทดสอบทั้งหมด 1,780 แอป มี 306 แอปที่ละเมิดกฎอย่างน้อยหนึ่งข้อ และบางแอปละเมิดหลักเกณฑ์หลายข้อ กฎที่พบบ่อยที่สุดที่ต้องฝ่าฝืนคือ “อย่าใช้ PRNG ที่เป็นอันตราย (ตัวสร้างตัวเลขสุ่มหลอก)” (แตกโดยแอป 1775 แอป) “อย่าใช้ฟังก์ชันแฮชที่เสียหาย (SHA1, MD2, MD5 ฯลฯ)” (แอป 1.764 รายการ) ) และ “อย่าใช้โหมดการทำงาน CBC (สถานการณ์ไคลเอนต์/เซิร์ฟเวอร์)” (แอปพลิเคชัน 1.076 รายการ) นักวิจัยตั้งข้อสังเกตว่ากฎดังกล่าวเป็นที่รู้จักของผู้เชี่ยวชาญด้านการเข้ารหัส แต่นักพัฒนาแอปพลิเคชันทั่วไปจำนวนมากอาจขาดความรู้เฉพาะหรือทักษะในการดำเนินการอย่างถูกต้อง ใช้เครื่องมือเหล่านี้ และข้อบกพร่องนี้อาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยง ทีมงานได้ติดต่อผู้พัฒนาแอป Android 306 แอปที่ถือว่ามีช่องโหว่ ซึ่งบางแอปมีการดาวน์โหลดหลายล้านครั้ง พวกเขา 18 คนตอบเราซ้ำแล้วซ้ำเล่าโดยให้ข้อเสนอแนะที่เป็นประโยชน์เกี่ยวกับผลลัพธ์ของเรา" พวกเขากล่าว พร้อมเสริมว่าพวกเขาได้ติดต่อกับนักพัฒนาไลบรารี Android ยอดนิยม 8 ไลบรารีด้วย แต่ได้รับการตอบกลับจากห้องสมุดเพียง XNUMX แห่งเท่านั้น ผ่านทาง ZDNet