Akademisyenler tarafından yapılan bir araştırmaya göre çok sayıda Android uygulamasında şifreleme hataları bulunuyor. Üstelik konuyla ilgili uyarılan geliştiriciler, söz konusu hataları çözmek için herhangi bir girişimde bulunmuyor.
306 popüler Android uygulaması şifreleme hataları ile dolu
Columbia Üniversitesi’nde görev yapana bir dizi akademisyeni bir araya gelerek yaptığı araştırma, yüz binlerce kişi tarafından kullanılan 306 popüler Android uygulamasında, çeşitli kripto hatalarının bulunduğunu ortaya çıkardı.
Kendilerine CRYLOGGER ismini veren ekip, 2019’un Eylül ve Ekim aylarında oldukça kapsamlı bir çalışma başlattı. Bu çalışma kapsamında 26 temel şifreleme kuralını kontrol eden oldukça gelişmiş bir araç geliştirildi. Bu araç ile popüler kategorilerde yer alan 1.780 uygulamayı test eden araştırma ekibi, çok dayıda Android uygulamasında şifreleme hataları olduğunu tespit etti.
Verilen bilgilere göre, teste tabi tutulan 1.780 uygulamadan 306 tanesi, sınıfta kaldı. Buna göre 306 adet uygulamadan bazıları yalnızca 1 şifreleme kuralını ihlal ederken, bazıları birden fazla şifreleme kuralını çiğnedi. Yayınlanan raporda, en çok çiğnenen kurallar şu şekilde sıralandı:
- Kural 18 – Güvenli olmayan bir PRNG kullanmayın
- Kural 1 – Bozuk karma işlevler kullanmayın (SHA1, MD2, MD5, vb.)
- Kural 4 – CBC çalışma modunu kullanmayın (istemci / sunucu senaryoları)
Kriptografi açısından oldukça önemli görülen, temel kurallar arasında yer alan bu kurallar, geliştiricilerin, uygulama geliştirme alanına girmeden önce uygulama güvenliği (AppSec) veya gelişmiş kriptografi eğitimi almadan farkında olmadan çiğneyebileceği kurallar arasında yer alıyor.
306 geliştiriciden yalnızca 18’i dönüş yaptı
Teste tabi tuttukları çok sayıda Android uygulamasında şifreleme hataları bulan ekip, bu hataları bildirmek için 306 uygulamanın geliştiricileri ile iletişime geçmeye çalıştılar. Savunmasız halde bulunan bu uygulamalar hakkında geliştiricileri bilgilendirmek isteyen ekip, ne yazık ki çoğu geliştirici tarafından dikkate alınmadı.
Araştırmacı ekip tarafından yapılan açıklamada, “Teste tabi tutulan tüm uygulamalar oldukça popüler. Şifreleme hatası veren uygulamalar arasında yüz binlerce indirmeye sahip olan uygulamalardan yüz milyonun üzerinde indirmeye sahip uygulamalara kadar çeşitli kategorilerde çok sayıda uygulama yer alıyor. Maalesef 306 geliştiriciye attığımız e-postalara yalnızca 18’i yanıt verdi. Ve bunlardan yalnızca 8’i, bulgularımızla ilgili yararlı bildirimler sağlamak için bizi takip etti” ifadelerine yer verildi.
Araştırma ekibinin iletişime geçtiği geliştiriciler arasında 6 popüler Android kütüphane geliştiricisi de bulunuyor. Ekibin verdiği bilgilere göre, bu geliştiricilerden yalnızca 2’si gelen uyarılara yanıt vermiş durumda.
Çok sayıda Android uygulamasında şifreleme hataları bulan ekip, söz konusu açıkların giderilmemesinden ötürü, bu uygulamaların isimlerini vermekten kaçınıyor. Söz konusu kural ihlalini tespit eden araça CryptoGuard ismini veren geliştiriciler, bu aracın, Android geliştiricileri için oldukça tamamlayıcı bir yardımcı program olduğuna inanıyor.