• 發布單位:TWCERT/CC
• 更新日期:2020-09-10
• 點閱次數:2622

哥倫比亞大學的一組資安研究團隊指出，該團隊分析了 1,780 個不同的 Android 熱門行動應用程式，發現其中多個 App 並未遵守一些最基本的資料加密原則，而且從未修復。

哥倫比亞大學的一組資安研究團隊，近日在 IEEE 計算計科學會刊上發表研究報告，指出該團隊利用自行開發的分析工具，分析了 1,780 個不同的 Android 熱門行動應用程式，發現其中多個 App 並未遵守一些最基本的資料加密原則，而且未修復。

該團隊開發的分析工具稱為 CRYLOGGER，會檢查 26 種基本的資料加密原則；在該工具分析的 1,780 個 Android 熱門 App 中，有 1,775 個使用不安全的 PRNG 亂數產生器；1,764 個使用了較弱的雜湊演算法（如 SHA1、MD2、MD5 等）；另外有 1,076 個 App 使用較弱的區塊加密法工作模式。

研究報告指出，大多數受檢的 Android App 都沒有遵守這 26 種最基本的資料加密原則，而被點名的 306 個 App 的情況尤其嚴重到已經成為資安漏洞等級。

這批 306 個 App 均屬 Google Play Store 上的熱門 App，下載安裝次數由數十萬次到超過一億次不等。研究團隊向這 306 個熱門 App 的開發者發出資安通報，說明檢測出的問題；但只有 18 個開發者回覆，其中有 8 個開發者後續與研究團隊進行連繫。

研究團隊也說，有部分加密問題是來自 App 程式碼呼叫的 Java 程式庫；該團隊也向其中六個熱門程式庫的開發者發出通報。