按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

哥倫比亞大學研究:多個熱門 Android App沒有遵守基本資料加密原則,而且未修正

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-09-10
  • 點閱次數:1427
哥倫比亞大學研究:多個熱門 Android App沒有遵守基本資料加密原則,而且未修正 TWCERT/CC

哥倫比亞大學的一組資安研究團隊指出,該團隊分析了 1,780 個不同的 Android 熱門行動應用程式,發現其中多個 App 並未遵守一些最基本的資料加密原則,而且從未修復。

哥倫比亞大學的一組資安研究團隊,近日在 IEEE 計算計科學會刊上發表研究報告,指出該團隊利用自行開發的分析工具,分析了 1,780 個不同的 Android 熱門行動應用程式,發現其中多個 App 並未遵守一些最基本的資料加密原則,而且未修復。

該團隊開發的分析工具稱為 CRYLOGGER,會檢查 26 種基本的資料加密原則;在該工具分析的 1,780 個 Android 熱門 App 中,有 1,775 個使用不安全的 PRNG 亂數產生器;1,764 個使用了較弱的雜湊演算法(如 SHA1、MD2、MD5 等);另外有 1,076 個 App 使用較弱的區塊加密法工作模式。

研究報告指出,大多數受檢的 Android App 都沒有遵守這 26 種最基本的資料加密原則,而被點名的 306 個 App 的情況尤其嚴重到已經成為資安漏洞等級。

這批 306 個 App 均屬 Google Play Store 上的熱門 App,下載安裝次數由數十萬次到超過一億次不等。研究團隊向這 306 個熱門 App 的開發者發出資安通報,說明檢測出的問題;但只有 18 個開發者回覆,其中有 8 個開發者後續與研究團隊進行連繫。

研究團隊也說,有部分加密問題是來自 App 程式碼呼叫的 Java 程式庫;該團隊也向其中六個熱門程式庫的開發者發出通報。

回頁首