Acadêmicos encontram bugs de criptografia em 306 aplicativos Android populares

Google detalha alguns de seus esforços para proteger o Android contra ameaças

Uma equipe de pesquisadores desenvolveu uma ferramenta personalizada para analisar aplicativos Android populares e ver se eles estão usando criptografia de maneira insegura. Batizada de CRYLOGGER, a ferramenta foi usada para testar 1.780 aplicativos Android, representando os aplicativos mais populares em 33 categorias diferentes da Play Store.

Os pesquisadores dizem que a CRYLOGGER verificou 26 regras básicas de criptografia e encontrou bugs em 306 aplicativos Android. Alguns aplicativos quebraram uma regra, enquanto outros quebraram várias.

Bugs de criptografia em 306 aplicativos Android populares

As três regras mais violadas foram: 1) Regra nº 18 – 1.775 aplicativos: Não use um PRNG inseguro; 2) Regra nº 1 – 1.764 aplicativos: Não use funções hash quebradas; 3) Regra nº 4 – 1.076 aplicativos: Não use o modo de operação CBC.

Essas são regras básicas que qualquer criptógrafo conhece muito bem, mas regras que alguns desenvolvedores de aplicativos podem não estar cientes sem ter estudado segurança de aplicativos ou criptografia avançada antes de entrar no espaço de desenvolvimento de aplicativos.

Acadêmicos encontram bugs de criptografia em 306 aplicativos Android populares
Batizada de CRYLOGGER, a ferramenta foi usada para testar 1.780 aplicativos Android, representando os aplicativos mais populares em 33 categorias diferentes da Play Store.

Os acadêmicos disseram que, depois de testarem os aplicativos, também contataram todos os desenvolvedores dos 306 aplicativos Android considerados vulneráveis. A equipe de pesquisa disse:

Todos os aplicativos são populares: eles têm de centenas de milhares de downloads a mais de 100 milhões. Infelizmente, apenas 18 desenvolvedores responderam ao nosso primeiro e-mail de solicitação e apenas 8 deles nos [responderam] várias vezes, fornecendo feedback útil sobre nossas descobertas.

Os pesquisadores afirmam que também contataram os desenvolvedores de seis bibliotecas populares do Android; mas, como antes, só receberam respostas de dois.

Em suma, a equipe de pesquisa acredita ter construído uma ferramenta poderosa que pode ser usada de forma confiável por desenvolvedores Android como um utilitário complementar ao CryptoGuard.

As duas ferramentas são complementares porque o CryptoGuard é um analisador estático (analisa o código fonte antes de ser executado); enquanto o CRYLOGGER é uma ferramenta de análise dinâmica (analisa o código durante a execução).

Assim como o CryptoGuard, o código do CRYLOGGER está disponível no GitHub. Detalhes adicionais sobre a pesquisa da equipe estão disponíveis.

Fonte: ZDNET

Huawei está pronta para desistir do Android

Lançado novo Preview Build do Microsoft Office para Android

Google remove o aplicativo Android usado para espionar manifestantes bielorrussos

Acesse a versão completa
Sair da versão mobile