Bir araştırma ekibi, uygulamaları analiz etmek için geliştirdikleri bir aracı kullanarak Play Store üzerindeki yüzlerce uygulamanın temel şifreleme algoritmalarını kırmayı başardı.
İlginizi çekebilir: Microsoft, kendi geliştirdiği deepfake tespit aracını duyurdu
Columbia Üniversitesi’nden bir grup araştırmacı, 300′den fazla Android uygulamasında yaptığı testler neticesinde, uygulamalarda kriptografi – şifreleme – hataları bulduğunu açıkladı. Araştırmacıların geliştirdiği CRYLOGGER adlı bu araç, Android uygulamalarını 26 temel şifreleme kurallarını baz alarak analiz ediyor. Analiz sonucunda ise bu uygulamaların, şifreleme konusunda güvenli olup olmadığı ortaya çıkıyor.
Ekip, CRYLOGGER aracını Play Store veri tabanındaki 33 farklı kategorideki en popüler 1780 uygulamada denediklerini söylüyor. Android 9.0.0r36 çalıştıran bir emülatörde yapılan testlerin, tamamlanmasının ise yaklaşık 10 gün sürdüğü ifade ediliyor. CRYLOGGER aracı, uygulamaları analiz ederken bozuk hash fonksiyonu, kötü şifre kullanımı ve aynı şifrenin birden fazla yerde kullanılması gibi toplam 26 farklı şifre kullanım senaryosunu baz alıyor.
Analize göre yüzlerce kişi, bu 26 farklı senaryodan birçoğunu olmasa da en az birini bilerek veya bilmeyerek ihlal ediyor. İşte bahse konu çalışmanın da aydınlattığı nokta tam olarak burası. Columbia ekibi, tespit ettikleri Play Store uygulamalarının bu sorunlar karşısında ne kadar tedbirsiz ve güvensiz olduğuna ışık tutuyor.
Diğer taraftan araştırma ekibi, Android uygulamalarındaki en çok kırılan yaygın şifreleme yöntemlerini de paylaştı. Bu yöntemler; sözde rassal sayı üreteci, bozuk hash fonksiyonları ve CBC (şifre blok zincirlemesi) modu olarak belirtiliyor. Yani bu yöntemlerle üretilen şifrelere karşı, CRYLOGGER’ın tespit ettiği uygulamaların hiçbir koruması yok.
Ayrıca geliştirilen CRYLOGGER aracı şu an GitHub üzerinde bulunabiliyor. Bu aracın uygulama kodlarını dinamik olarak analiz etmesinin sebebi, ekibe göre statik analizin negatif etkiler yaratma ve kodda bulunan şifreleme hatalarını gözden kaçırma ihtimali. Bundan dolayı ekip, uygulamaları dinamik olarak analiz etmeyi seçtiklerini ifade ediyor.
tarafından verilmektedir.