- La comparaison
- Tutoriels
- Des centaines d'applications Android peuvent contenir l'une de ces erreurs cryptographiques désagréables
Il a été constaté que de nombreuses applications Android populaires utilisent à mauvais escient le code cryptographique, ce qui peut mettre en danger les utilisateurs et leurs appareils. Des chercheurs de l'Université de Columbia ont découvert un certain nombre de failles majeures dans plusieurs catégories d'applications qui, selon eux, montrent que de nombreux développeurs utilisent le code cryptographique de manière non sécurisée. L'équipe a trouvé des bugs ou des problèmes dans des centaines d'applications Android, certains coupables enfreignant plusieurs règles pour utiliser correctement ce code, montrant qu'une grande partie du monde a encore besoin de comprendre les directives de base. l'industrie du développement mobile.
Failles d'Android
Pour mener à bien leurs recherches, l'équipe de Columbia a développé un outil personnalisé appelé CRYLOGGER, capable d'analyser les applications Android à la recherche des 26 règles de base de la cryptographie, notamment des directives telles que ne pas utiliser de mots de passe faibles, un cryptage défectueux et ne pas utiliser HTTPS. Dans l'ensemble, CRYLOGGER a été testé sur les applications Android les plus populaires dans 33 catégories différentes sur le Google Play Store en septembre et octobre 2019. Sur les 1,780 306 applications testées, 1775 ont enfreint au moins une règle et certaines ont enfreint plusieurs directives. Les règles les plus courantes à enfreindre étaient « ne pas utiliser de PRNG (générateur de nombres pseudo-aléatoires) dangereux » (enfreintes par 1 2 applications), « Ne pas utiliser de fonctions de hachage cassées (SHA5, MD1.764, MD1.076, etc.) » (306 18 applications). ) et « Ne pas utiliser le mode de fonctionnement CBC (scénarios client/serveur) » (8 XNUMX applications). Les chercheurs ont noté que de telles règles seraient bien connues des cryptographes spécialisés, mais que de nombreux développeurs d'applications réguliers peuvent manquer de connaissances ou de compétences spécifiques pour correctement "Malheureusement, seuls XNUMX développeurs ont répondu à notre première demande par email et seulement XNUMX d'entre eux ont ils nous ont répondu à plusieurs reprises en nous donnant des commentaires utiles sur nos résultats", ont-ils noté, ajoutant qu'ils avaient également contacté les développeurs de six bibliothèques Android populaires, mais qu'ils n'avaient eu de réponse que de deux d'entre eux. Via ZDNet