Regu periset dari Columbia University meningkatkan suatu perlengkapan( tool) buat menganalisa apakah aplikasi- aplikasi Android memakai kode kriptografi dalam metode yang tidak nyaman.
Tool bernama Crylogger ini sudah dipakai buat menguji 1. 780 aplikasi terkenal Android di 33 jenis, pada September serta Oktober 2019.
Para periset menyebut, tool ini mengecek 26 ketentuan kriptografi serta menciptakan bug di 306 aplikasi Android. Beberapa aplikasi sudah melanggar satu ketentuan serta sebagian aplikasi lain melanggar lebih dari satu ketentuan kriptografi.
Ada pula ketentuan yang sangat banyak dilanggar merupakan larangan memakai PRNG yang tidak nyaman( 1. 775 aplikasi), larangan pemakaian guna hash yang rusak( 1. 764 aplikasi), serta larangan pemakaian fashion pembedahan CBC( 1. 076 aplikasi).
Aturan- aturan di atas ialah ketentuan standar, sayangnya para pengembang aplikasi tidak menyadari kalau pelanggaran tersebut dapat merangsang bahaya.
Melansir ZDnet, Selasa( 8/ 9/ 2020), periset Columbia University menyebut, sehabis mereka melaksanakan pengujian aplikasi, portal informasi android mereka pula menghubungi 306 pengembang Android yang aplikasinya dikira rentan.
Cuma 18 Pengembang yang Beri Jawaban
" Segala aplikasi lumayan terkenal, dengan jumlah unduhan mulai dari ratusan ribu sampai lebih dari 100 juta. Sayangnya cuma 18 pengembang yang menanggapi email kami serta cuma 8 yang terus berikan umpan balik atas penemuan kami," kata salah satu periset dari Columbia University.
Sebagian bugs kripto terdapat di kode aplikasi, sebagian bug lagi tercantum bagaikan bagian dari library Java yang dipakai pada aplikasi.
Para periset menyebut, mereka pula sudah menghubungi 6 pengembang library aplikasi Android terkemuka, tetapi cuma memperoleh jawaban dari 2 di antara lain.
Sebab tidak terdapat pengembang yang membetulkan aplikasi serta library mereka, periset menahan diri buat tidak menerbitkan nama aplikasi serta library yang dikira rentan. Perihal ini dicoba buat menjauhi eksploitasi atas aplikasi.
Tools Diklaim Bisa Dipercaya
Regu periset yakin, mereka meningkatkan tool yang dapat dipercaya oleh pengembang Android, bagaikan aksesoris CryptoGuard.
Kedua tool tersebut silih memenuhi sebab CryptoGuard berperan menganalisis source code saat sebelum dijalankan. Sedangkan Crylogger merupakan perlengkapan analisis dinamis yang berperan menganalisis kode dikala lagi dijalankan.
Sebab keduanya bekerja pada tingkat yang berbeda, pada periset yakin keduanya dapat digunakan buat mengetahui bugs kriptografi di aplikasi Android, saat sebelum kode dijalankan pada fitur pengguna.
Tidak ada komentar:
Posting Komentar