Многие разработчики не слишком переживали за безопасность своих пользователей.

Как пишет ZDNet, группа исследователей из Колумбийского университета (CU) разработала инструмент CRYLOGGER для динамической проверки приложений для Android на использование криптографических ключей небезопасным образом.

Эксперты проверили 1780 популярных программ из 33 категорий в Google Play в сентябре-октябре 2019 года на соответствие 26 базовым правилам криптографии и обнаружили нарушения в работе 306 приложений. Некоторые не соответствовали всего одному требованию, другие — нескольким сразу.

Тремя самыми часто нарушаемыми правилами стали:

• Правило №18 — 1775 приложений — не использовать генератор псевдослучайных чисел
• Правило №1 — 1764 приложения — не использовать «сломанные» функции хэша
• Правило №4 — 1076 приложений — не использовать режим сцепления блоков зашифрованного текста.

По мнению исследователей, специалисты по криптографии хорошо знакомы с этими требованиями, но ими могут пренебрегать, или вообще не знать о них, разработчики приложений, которые не изучали основы программную безопасность и продвинутую криптографию и поскорее хотели войти в сферу создания приложений.

Разработчикам все равно

Сотрудники CU связались с разработчиками 306 наиболее проблемных приложений и сообщили об их уязвимости. Ошибки нашлись как в основном коде, так и в библиотеках Java, которые использовались для написания программ.

Только 18 разработчиков ответили на первый email, еще 8 дали обратную связь. Из шести авторов популярных библиотек исследователям ответили лишь двое. Ни одна из потенциально опасных программ и библиотек пока не получила исправляющего ошибки безопасности патча. При это речь идет о популярном софте, число загрузок которого исчисляется «от сотен тысяч до более 100 миллионов», отметили в CU.