Команда специалистов из Колумбийского университета разработала инструмент для динамического анализа Android-приложений. Основная цель разработки — вычислить программы, небезопасно использующие криптографический код.
Инструмент получил имя CRYLOGGER, эксперты использовали его для сканирования 1780 самых популярных приложений для Android из разных категорий в Google Play Store.
По словам разработчиков CRYLOGGER, инструмент проверяет 26 базовых правила криптографии. С его помощью удалось найти баги в 306 Android-приложениях. Самыми распространёнными ошибками стали:
- Использование небезопасного генератора псевдослучайных чисел.
- Использование неактуальных функций хеширования (SHA1, MD2, MD5 и т. п.).
- Использование CBC (сценарий «сервер-клиент»).
Часть этих багов присутствовала в коде приложений, другая часть — в библиотеках Java, которые используются в проанализированном софте.
Исследователи Колумбийского университета поделились своими выводами с разработчиками проблемных приложений. Лишь 18 из 306 девелоперов ответили специалистам.
