流行的Android应用程序很多都有加密漏洞

哥伦比亚大学的研究人员发布了一开源代码动态分析工具 Crylogger，可以用来检测哪些 Android 应用程序存在加密漏洞。

测试了 Google Play 商店中 1780 个流行的 Android 应用程序后，结果令人震惊：

• 所有应用都违反 26 条加密规则中的至少一项

• 1775 个应用使用了不安全的伪随机数生成器（PRNG）

• 1764 个应用使用了损坏的哈希函数（SHA1，MD2，MD5 等）

• 1076 个应用程序使用 CBC 操作模式（在客户端-服务器方案中容易受到填充 oracle 攻击的影响）

• 820 个应用程序使用静态对称加密密钥（硬编码）

关于 Crylogger

每个测试过的应用程序都有一个运行在 Crylogger 中的加密库，它会记录在执行过程中传递给加密 api 的参数，然后使用加密规则列表离线检查它们的合法性和安全性。

加密是安全系统的基础组成部分，例如加密哈希函数和加密算法可以保证网络的完整性和机密性等属性。而以上这些应用程序并没有遵守常见的加密安全准则。

为了确认 Crylogger 标记的加密漏洞是否可以被利用，研究人员对测试的 28 个应用程序进行了人工逆向工程，发现其中 14 个容易受到攻击（部分需要提升权限才能有效利用）。

危害显而易见。但当研究人员给 306 个违反 9 条以上密码规则的安卓应用程序的开发者发了通知邮件时，却只有 18 名开发者回复，仅 8 名开发者在第一封邮件后继续交流，并提供了有用的反馈。

目前，研究人员选择不透露易受攻击的应用程序的名称，避免给攻击者可乘之机，但他们分享的信息足以表明这些问题影响到所有类型的应用程序：从媒体流和报纸应用程序到文件和密码管理器、身份验证应用程序、消息传递应用程序等等。