Ученые-исследователи из Университета Колумбии разработали и испытали в действии новый мощный инструмент под названием CRYLOGGER. В его задачи входит проведение анализа приложений для Android и выявления вредоносной криптографики. По мнению самих разработчиков, эту новинку можно применять параллельно с другим инструментом – CryptoGuard, который проводит статический анализ. Первый из них занимается анализом кода в процессе его выполнения, а второй – перед выполнением.

В материале, размещенном на портале xakep.ru, автор рассказывает, что, используя свой новый инструмент, исследователи проверили 1780 различных приложений, выбрав самые популярные из Google Play Store за период сентябрь-октябрь прошлого года. Приложения выбирались из 33-х категорий. Проверка осуществлялась по 26 пунктам, представляющих собой правила применения криптографии.

По итогам тестирования специалисты нашли 306 достаточно серьезных ошибок. Наиболее распространенными программными ошибками являются правила:

  • №1: не применяйте ненадежные функции типа SHA1, MD5, MD2 и подобные (количество приложений 1764);
  • №4: не пользуйтесь режимом клиент/сервис или СВС (количество приложений 1076);
  • №18: не пользуйтесь опасным генератором псевдослучайных чисел (количество приложений 1775).

Со слов специалистов, которые выявили уязвимости, следует, что практически сразу после получения результатов, они попытались связаться с создателями всех проблемных продуктов, хотя особого результата это не принесло.

В своих комментариях исследователи отметили, что все 306 приложений являются очень популярными с количеством загрузок некоторых до миллиарда. На все обращения только восемнадцать разработчиков дали ответ и восемь из них предоставили полноценную обратную связь.

В ряде случаев ошибки были обнаружены в кодах не приложений, а Java библиотек. С шестью из них (их создателями) ученые тоже пробовали связаться, но ответили всего двое разработчиков.

Обнародовать название проблемных продуктов специалисты не стали в связи с высоким риском их использования в мошеннических целях, ведь патчи были выпущены только 18-ю разработчиками.