306 aplicaciones de Android sin parchear con errores relacionados con la criptografía en la naturaleza

Un grupo de académicos de la Universidad de Columbia descubrió Errores relacionados con el cifrado en unas 306 aplicaciones de Android. Esto se informó a los respectivos desarrolladores de aplicaciones, pero solo 18 de ellos respondieron inicialmente y ninguno parcheado Estan aún. Por lo tanto, los académicos no revelaron la lista de estas aplicaciones con errores, citando que pueden ser explotadas si se anuncian.

Errores de cifrado encontrados en 306 aplicaciones de Android

En una encuesta realizada de septiembre a octubre de 2019, los académicos de la Universidad de Columbia crearon y utilizaron una herramienta llamada CRYLOGGER para señalar errores relacionados con el cifrado en 1780 aplicaciones de Android en 33 categorías de Playstore. La encuesta reveló alrededor de 306 aplicaciones de Android que violan reglas de cifrado serias, lo que permitió a los atacantes explotarlas de alguna manera.

Según académicos, alrededor de 1,775 aplicaciones tienen un generador de números pseudoaleatorios (PRNG) inseguro, alrededor de 1,764 aplicaciones están usando funciones hash rotas, como SHA1, MD2, MD5, etc., y 1,076 aplicaciones están usando el modo de operación CBC (cliente / servidor ).

Estas son reglas de cifrado básicas que sigue cualquier criptógrafo, pero pueden resultar confusas para los desarrolladores de aplicaciones en general, ya que se centran más en las características de las aplicaciones.

Aún así, los académicos advierten sobre esto, ya que pueden ser explotados y, lo que es más importante, todas las aplicaciones probadas son lo suficientemente populares como para ser identificadas. Algunos están descargando desde cientos de miles hasta millones, dicen los académicos.

Mientras buscaban a los respectivos desarrolladores de aplicaciones para informar de estos errores, solo 18 de 306 informes respondieron! Además, solo hay 8 desarrolladores que siguieron las conversaciones para dar su opinión sobre esta encuesta.

Sin embargo, ninguna aplicación del grupo descubierto ha recibido parches hasta ahora. Los investigadores encontraron 6 bibliotecas de Java que también tienen estos errores pero recibió la misma suerte que las respuestas de las aplicaciones cuando se les informó. Esta fase sin acción obligó a los académicos a no publicar la lista de aplicaciones con estos errores, ya que podrían ser explotados si se exponen sin parches.