Содержимое Google Play проверили на кибербезопасность

Магазин приложений для операционной системы Android имеет встроенные механизмы проверки загружаемого контента на безопасность, однако они, как правило, ищут вирусы или недокументированные функции, крадущие данные пользователей. Ученые из Университета штата Колумбия решили проверить, а насколько соответствует код самих программ в Google Play отраслевым стандартам кибербезопасности. Результаты были неутешительными — более 1700 приложений содержали серьезные уязвимости.
Содержимое Google Play проверили на кибербезопасность

Основной задачей работы исследователей являлось создание инструмента для отслеживания криптографических уязвимостей в программном обеспечении. Результаты испытаний разработанного ими специального приложения CRYLOGGER опубликованы в виде препринта на посвященном компьютерной тематике портале Института инженеров электротехники и электроники (IEEE). В ходе проверки работоспособности своей разработки, коллектив из Колумбийского университета обработал с ее помощью 1 780 приложений из тридцати трех различных категорий в Google Play.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Ученые из Университета штата Колумбия создали инструмент для автоматической проверки программ на уязвимости в криптографии. CRYLOGGER выявил 1780 случаев в Google Play

Алгоритм изучал поведение программ и выявлял нарушения 26 составленных учеными правил «хорошей» криптографии. Этот свод состоит из соображений опытных специалистов по кибербезопасности и результатов более ранних научных работ. После того, как CRYLOGGER выявил более 1 700 «нарушителей», исследователи декомпилировали 28 из этих приложений и внимательно проверили исходный код. Делалось это, чтобы убедиться в отсутствии ложных срабатываний проверяющего алгоритма.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Ученые из Университета штата Колумбия создали инструмент для автоматической проверки программ на уязвимости в криптографии. CRYLOGGER выявил 1780 случаев в Google Play
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

О выявленных серьезных изъянах в коде исследователи решили сообщить 306 разработчикам наиболее популярных из обработанных приложений. Ответов на такую обратную связь было невероятно мало — всего 18, причем лишь 8 отреагировали на первое сообщение, остальным пришлось писать несколько раз. Иными словами, очень небольшое количество создателей программ, скачанных многие сотни тысяч раз, обеспокоены вопросами кибербезопасности в своих продуктах.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Ученые из Университета штата Колумбия создали инструмент для автоматической проверки программ на уязвимости в криптографии. CRYLOGGER выявил 1780 случаев в Google Play

Львиная доля обследованных программ нарушают всего три весьма критичных правила: используют небезопасный генератор псевдослучайных чисел (#18) и недостаточно стойкие хэш-функции (#1), а также применяют сцепление блоков шифротекста (CBC) в клиент-серверных операциях. Речь идет не просто о наличие таких программных решений, а использование их в механизмах защиты данных и авторизации пользователя.