日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

哥倫比亞大學的研究人員近日發(fā)布了Crylogger，這是一種開放源代碼動態(tài)分析工具，可檢測Android應用程序中存在的加密漏洞。

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,仲巴企業(yè)網(wǎng)站建設,仲巴品牌網(wǎng)站建設,網(wǎng)站定制,仲巴網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,仲巴網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

[[341381]]

研究者用Crylogger測試了Google Play商店中1780個流行的Android應用程序，涵蓋了流行的信息流媒體、文件和密碼管理器、身份驗證應用程、個人通訊等多種應用，結果令人震驚，幾乎所有Android應用都存在加密漏洞：

• 所有受測應用都違反26條加密規(guī)則中的至少一項
• 1775個應用使用了不安全的偽隨機數(shù)生成器(PRNG)
• 1764個應用使用了損壞的哈希函數(shù)(SHA1、MD2、MD5等)
• 1076個應用程序使用CBC操作模式(在客戶端-服務器方案中容易受到填充oracle攻擊的影響)
• 820個應用程序使用靜態(tài)對稱加密密鑰(硬編碼)

關于Crylogger

接受檢測的每個帶有工具化密碼庫的應用程序都在Crylogger中運行，該工具記錄程序執(zhí)行期間傳遞給密碼API的參數(shù)，然后使用密碼規(guī)則列表離線檢查其合法性。

研究人員解釋說：“加密(密碼)算法是所有安全系統(tǒng)的基本組成部分：例如，加密哈希函數(shù)和加密算法可以保證諸如完整性和機密性之類的安全屬性。”

“所謂加密濫用就是調用的加密API未遵守通用安全準則，例如由密碼學家或NIST和IETF等組織建議的準則?！?/p>

為了確認可以真正利用Crylogger識別并標記加密漏洞，研究人員手動對28個經(jīng)過測試的應用程序進行了反向工程，并發(fā)現(xiàn)其中14個確實容易受到攻擊(即使某些問題可能被開發(fā)人員認為不在加密范圍內，因為它們需要提升權限才能有效利用)。

雙管齊下

通過對150個樣本應用的對比測試，研究者發(fā)現(xiàn)Crylogger(動態(tài)分析工具)與CryptoGuard(檢測Java應用程序加密濫用的一個開源靜態(tài)分析工具)存在互補關系，前者漏掉的一些漏洞會被后者檢測到，反之亦然。

研究人員建議開發(fā)者在應用在應用商店上架或發(fā)布之前，同時使用以上兩個工具對應用進行測試。

令人揪心的發(fā)現(xiàn)

如本文開頭所述，太多的應用程序破壞了太多的加密規(guī)則。而且，太多的應用程序和庫開發(fā)人員選擇忽略這些問題。

研究人員通過電子郵件向306個違反9個或更多加密規(guī)則的Android應用程序開發(fā)人員發(fā)送了電子郵件：只有18個開發(fā)人員回覆，只有8個開發(fā)人員在第一封電子郵件后繼續(xù)進行交流，并提供了有關其發(fā)現(xiàn)的有用反饋。他們還聯(lián)系了流行的Android庫的6位開發(fā)人員，并從其中2位獲得了答案。

網(wǎng)站題目：全軍覆沒：Android主流應用普遍存在加密漏洞
分享地址：http://www.dlmjj.cn/article/cogjodg.html