Los académicos encuentran errores de cifrado en 306 aplicaciones populares de Android, ninguna se corrige



Un equipo de académicos de la Universidad de Columbia ha desarrollado una herramienta personalizada para analizar dinámicamente las aplicaciones de Android y ver si están usando código criptográfico de manera insegura. Nombrada CRYLOGGER, la herramienta se utilizó para probar 1.780 aplicaciones de Android, que representan las aplicaciones más populares en 33 categorías diferentes de Play Store, en septiembre y octubre de 2019. Los investigadores dicen que la herramienta, que verificó 26 reglas básicas de criptografía (ver tabla a continuación), encontró errores en 306 aplicaciones de Android.
Algunas aplicaciones rompieron una regla, mientras que otras rompieron varias. Las tres reglas más infringidas fueron: Estas son reglas básicas que cualquier criptógrafo conoce muy bien, pero reglas que algunos desarrolladores de aplicaciones podrían no conocer sin haber estudiado seguridad de aplicaciones (AppSec) o criptografía avanzada antes de ingresar al espacio de desarrollo de aplicaciones. Imagen: Piccolboni et al.
Los académicos de la Universidad de Columbia dijeron que después de probar las aplicaciones, también se pusieron en contacto con todos los desarrolladores de las 306 aplicaciones de Android que se encontraron vulnerables. "Todas las aplicaciones son populares: tienen desde cientos de miles de descargas hasta más de 100 millones", dijo el equipo de investigación. "Desafortunadamente, solo 18 desarrolladores respondieron nuestro primer correo electrónico de solicitud y solo 8 de ellos nos siguieron varias veces proporcionando comentarios útiles sobre nuestros hallazgos.
" Si bien algunos errores criptográficos estaban en el código de una aplicación, algunos errores comunes también se estaban introduciendo como parte de las bibliotecas de Java utilizadas como parte de las aplicaciones. Los investigadores dicen que también se contactaron con los desarrolladores de 6 bibliotecas populares de Android, pero al igual que antes, solo recibieron respuestas de 2 de ellos. Dado que ninguno de los desarrolladores arregló sus aplicaciones y bibliotecas, los investigadores se abstuvieron de publicar los nombres de las aplicaciones y bibliotecas vulnerables, citando posibles intentos de explotación contra los usuarios de las aplicaciones.
Con todo, el equipo de investigación cree que ha creado una herramienta poderosa que los desarrolladores de Android pueden utilizar de forma fiable como una utilidad complementaria de CryptoGuard. Las dos herramientas son complementarias porque CryptoGuard es un analizador estático (analiza el código fuente antes de ejecutarse), mientras que CRYLOGGER es una herramienta de análisis dinámico (analiza el código mientras se ejecuta). Dado que los dos funcionan en diferentes niveles, los académicos creen que ambos podrían usarse para detectar el bus relacionado con la criptografía en las aplicaciones de Android antes de que el código de la aplicación llegue a los dispositivos del usuario.
Al igual que CryptoGuard, el código de CRYLOGGER también está disponible en GitHub. Los detalles adicionales sobre la investigación del equipo están disponibles en una preimpresión llamada "CRYLOGGER: Detectando el uso indebido de criptomonedas dinámicamente", que se presentará en el Simposio IEEE sobre Seguridad y Privacidad, el próximo año, en mayo de 2021. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı