В Android-приложениях обнаружены встроенные незащищенные ключи шифрования

image

Теги: Android, ключ шифрования

Множество разработчиков оставляют важные данные в файлах .png и .apk.

Аналитик по уязвимостям программного обеспечения в Координационном центре CERT (CERT/CC) Уилл Дорманн (Will Dormann) сообщил на конференции BSides в Сан-Франциско об обнаружении во множестве Android-приложений встроенных криптографических ключей.

По словам эксперта, он просканировал порядка 1,8 млн бесплатных приложений для ОС Android и обнаружил большое количество проблем безопасности. Ключи PGP, коды VPN и вшитые пароли администратора были доступны во множестве программ.

«Я просканировал только бесплатные приложения. Уверен, у платных приложений есть аналогичные проблемы», - отметил специалист.

В общей сложности Дорманн обнаружил почти 20 тыс. программ с незащищенными ключами, в том числе в популярном приложении Samsung для «умного» дома.

Дорманн также обратил внимание на инструмент для разработчиков Appinventor, который по умолчанию встраивает закрытые ключи в приложения. В настоящее время разработчики инструмента уже исправили данную проблему.

В хранилищах программных ключей также было обнаружено множество проблем. Хранилища ключей Java и Bouncy Castle не шифруются на уровне контейнера и полагаются на защиту паролем, которой, по словам специалиста, недостаточно.

В рамках эксперимента эксперт использовал для взлома уязвимых приложений два популярных взломщика паролей - Jack the Ripper и Hashcat.

«Hashcat показал себя намного лучше. Он не только распознает человеческую привычку делать заглавной именно первую букву, но также может проверять восклицательные знаки в конце пароля, а также четыре цифры, потому что многие люди добавляют даты», - отметил специалист.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus