Содержимое Google Play проверили на кибербезопасность
Основной задачей работы исследователей являлось создание инструмента для отслеживания криптографических уязвимостей в программном обеспечении. Результаты испытаний разработанного ими специального приложения CRYLOGGER опубликованы в виде препринта на посвященном компьютерной тематике портале Института инженеров электротехники и электроники (IEEE). В ходе проверки работоспособности своей разработки, коллектив из Колумбийского университета обработал с ее помощью 1 780 приложений из тридцати трех различных категорий в Google Play.
Правила «качественного» подхода к криптографии
Алгоритм изучал поведение программ и выявлял нарушения 26 составленных учеными правил «хорошей» криптографии. Этот свод состоит из соображений опытных специалистов по кибербезопасности и результатов более ранних научных работ. После того, как CRYLOGGER выявил более 1 700 «нарушителей», исследователи декомпилировали 28 из этих приложений и внимательно проверили исходный код. Делалось это, чтобы убедиться в отсутствии ложных срабатываний проверяющего алгоритма.
Количество приложений, в которых встречаются нарушения «правил криптографии»
О выявленных серьезных изъянах в коде исследователи решили сообщить 306 разработчикам наиболее популярных из обработанных приложений. Ответов на такую обратную связь было невероятно мало — всего 18, причем лишь 8 отреагировали на первое сообщение, остальным пришлось писать несколько раз. Иными словами, очень небольшое количество создателей программ, скачанных многие сотни тысяч раз, обеспокоены вопросами кибербезопасности в своих продуктах.
Львиная доля обследованных программ нарушают всего три весьма критичных правила: используют небезопасный генератор псевдослучайных чисел (#18) и недостаточно стойкие хэш-функции (#1), а также применяют сцепление блоков шифротекста (CBC) в клиент-серверных операциях. Речь идет не просто о наличие таких программных решений, а использование их в механизмах защиты данных и авторизации пользователя.