digital report
  • TEKNOLOJİ
  • DRPRO
  • GİRİŞİM
  • E-TİCARET
  • FINTECH
  • MARKA
  • GÜVENLİK
  • REHBER
  • DERGİ
  • FORUM
Sonuç bulunamadı
Tüm sonuçları gör
digital report
Digital Report Güvenlik

Araştırma: Popüler Android uygulamaları şifreleme hataları içeriyor

Yazar: Osman Doğan
8 Eylül 2020
Kategori: Güvenlik
A A
Çok sayıda Android uygulamasında şifreleme hataları var

Çok sayıda Android uygulamasında şifreleme hataları var

Facebook'ta PaylaşTwitter'da PaylaşLinkedIn'de PaylaşWhatsApp'ta PaylaşTelegram'da Paylaş

Akademisyenler tarafından yapılan bir araştırmaya göre çok sayıda Android uygulamasında şifreleme hataları bulunuyor. Üstelik konuyla ilgili uyarılan geliştiriciler, söz konusu hataları çözmek için herhangi bir girişimde bulunmuyor.

306 popüler Android uygulaması şifreleme hataları ile dolu

Columbia Üniversitesi’nde görev yapana bir dizi akademisyeni bir araya gelerek yaptığı araştırma, yüz binlerce kişi tarafından kullanılan 306 popüler Android uygulamasında, çeşitli kripto hatalarının bulunduğunu ortaya çıkardı.

Kendilerine CRYLOGGER ismini veren ekip, 2019’un Eylül ve Ekim aylarında oldukça kapsamlı bir çalışma başlattı. Bu çalışma kapsamında 26 temel şifreleme kuralını kontrol eden oldukça gelişmiş bir araç geliştirildi. Bu araç ile popüler kategorilerde yer alan 1.780 uygulamayı test eden araştırma ekibi, çok dayıda Android uygulamasında şifreleme hataları olduğunu tespit etti.

Verilen bilgilere göre, teste tabi tutulan 1.780 uygulamadan 306 tanesi, sınıfta kaldı. Buna göre 306 adet uygulamadan bazıları yalnızca 1 şifreleme kuralını ihlal ederken, bazıları birden fazla şifreleme kuralını çiğnedi. Yayınlanan raporda, en çok çiğnenen kurallar şu şekilde sıralandı:

  • Kural 18 – Güvenli olmayan bir PRNG kullanmayın
  • Kural 1 – Bozuk karma işlevler kullanmayın  (SHA1, MD2, MD5, vb.)
  • Kural 4 – CBC çalışma modunu kullanmayın  (istemci / sunucu senaryoları)

Kriptografi açısından oldukça önemli görülen, temel kurallar arasında yer alan bu kurallar, geliştiricilerin, uygulama geliştirme alanına girmeden önce uygulama güvenliği (AppSec) veya gelişmiş kriptografi eğitimi almadan farkında olmadan çiğneyebileceği kurallar arasında yer alıyor.

306 geliştiriciden yalnızca 18’i dönüş yaptı

Teste tabi tuttukları çok sayıda Android uygulamasında şifreleme hataları bulan ekip, bu hataları bildirmek için 306 uygulamanın geliştiricileri ile iletişime geçmeye çalıştılar. Savunmasız halde bulunan bu uygulamalar hakkında geliştiricileri bilgilendirmek isteyen ekip, ne yazık ki çoğu geliştirici tarafından dikkate alınmadı.

Araştırmacı ekip tarafından yapılan açıklamada, “Teste tabi tutulan tüm uygulamalar oldukça popüler. Şifreleme hatası veren uygulamalar arasında yüz binlerce indirmeye sahip olan uygulamalardan yüz milyonun üzerinde indirmeye sahip uygulamalara kadar çeşitli kategorilerde çok sayıda uygulama yer alıyor. Maalesef 306 geliştiriciye attığımız e-postalara yalnızca 18’i yanıt verdi. Ve bunlardan yalnızca 8’i, bulgularımızla ilgili yararlı bildirimler sağlamak için bizi takip etti” ifadelerine yer verildi.

Araştırma ekibinin iletişime geçtiği geliştiriciler arasında 6 popüler Android kütüphane geliştiricisi de bulunuyor. Ekibin verdiği bilgilere göre, bu geliştiricilerden yalnızca 2’si gelen uyarılara yanıt vermiş durumda.

Çok sayıda Android uygulamasında şifreleme hataları bulan ekip, söz konusu açıkların giderilmemesinden ötürü, bu uygulamaların isimlerini vermekten kaçınıyor. Söz konusu kural ihlalini tespit eden araça CryptoGuard ismini veren geliştiriciler, bu aracın, Android geliştiricileri için oldukça tamamlayıcı bir yardımcı program olduğuna inanıyor.

İLGİNİZİ ÇEKEBİLİR  Apple A14 Bionic işlemcisi ile iddialı: İşte özellikleri
Etiketler: androidAndroid uygulamalarıAndroid uygulamasıCRYLOGGERCryptoGuardfeaturedkriptokriptografişifrelemeşifreleme hataları
PaylaşTweet'lePaylaşGönderPaylaş

İLGİLİ YAZILAR

Fidye yazılımı saldırıları 2020'de %485 arttı

Fidye yazılımı saldırıları 2020’de yüzde 485 arttı

Gmail, Android'den gelen e-postaları yönetmek için yeni özellikler kazanıyor

Gmail, Android’de e-postaları yönetmek için yeni özellikler kazanıyor

OPPO Reno 5Z 5G duyuruldu: İşte özellikleri, fiyatı ve çıkış tarihi

OPPO Reno 5Z 5G duyuruldu: İşte özellikleri, fiyatı ve çıkış tarihi

Android Auto artık geliştiricilerin navigasyon, park etme ve şarj uygulamalarını başlatmalarına izin veriyor

Android Auto, geliştiricilerin navigasyon, park etme ve şarj uygulamaları yapmasına izin veriyor

digital report

© 2019 Digital Report bir Linkmedya markasıdır.

  • Gizlilik
  • İletişim
  • Künye

Bizi takip edin

Sonuç bulunamadı
Tüm sonuçları gör
  • TEKNOLOJİ
  • DR
  • GİRİŞİM
  • E-TİCARET
  • FINTECH
  • MARKA
  • GÜVENLİK
  • REHBER
  • DERGİ
  • FORUM