Android_bug

Il team di ricerca della Columbia University, composto da Luca Piccolboni , Giuseppe Di Guglielmo, Luca P. Carloni e Simha Sethumadhavan, ha individuato più di 300 app sul Google Play Store con criticità nella crittografia di base.

Per effettuare la loro analisi hanno sviluppato uno strumento personalizzato denominato Crylogger, che analizza le applicazioni Android secondo 26 regole di crittografia di base. Tali regole servono ad evitare l’uso di:

  • funzioni hash danneggiate;
  • password errate;
  • riutilizzo delle stesse password;
  • connessioni ad URL HTTP;
  • utilizzo errato di una chiave per la crittografia.

Il test è stato effettuato su 1.780 delle app più popolari nel Play Store di 33 categorie diverse e da cui è emerso che centinaia sono vulnerabili almeno ad una delle predette criticità (in alcuni casi sono state rilevate app con 18 bug).

Crylogger è stato utilizzato generando circa 30.000 eventi casuali (definiti dai ricercatori come un buon compromesso tra il tempo di esecuzione e il numero di vulnerabilità trovate nelle app). Inoltre i test hanno richiesto circa 10 giorni per essere eseguiti su un emulatore con Android 9.0.0r36.

Di seguito un esempio del funzionamento di Crylogger:

crylogger

1: viene avviata l’applicazione con la libreria crittografica scelta per l’analisi; 2: viene generato un log contenente i parametri delle chiamate API crittografiche; 3: controllo delle regole crittografiche e segnalazione delle violazioni. Quest’ultima fase avviene offline.

I ricercatori nel documento di analisi, affermano di aver contattato gli sviluppatori di tutte le app e librerie Android di cui sono state rilevate le vulnerabilità; tuttavia, solo 18 sviluppatori hanno risposto alla prima e-mail e solo otto hanno risposto con “feedback utili” sui loro risultati. Inoltre il team ha anche contattato sei sviluppatori di librerie Android, ricevendo risposta solo da due.

Il team Columbia ha anche reso disponibile il proprio strumento su GitHub, infatti Cryologger è open source e si affianca a CryptoGuard , un altro strumento open-source disponibile su GitHub che i ricercatori considerano “uno degli strumenti statici più efficaci per rilevare gli abusi di crittografia”.

I dettagli della ricerca li trovi nel link utilizzato come fonte per quest’articolo.

FONTE: CRYLOGGER:Detecting Crypto Misuses Dynamically.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi