به گزارش کارگروه امنیت سایبربان؛ یک تیم علمی از دانشگاه کلمبیای آمریکا ابزار به خصوصی را طراحی کرده است که می تواند به صورت پویا اپلیکیشن های پشتیبانی شده توسط سیستم عامل اندروید را بررسی کند تا از استفاده احتمالی آنان از کد های غیر ایمن رمزنگاری شده مطلع شود.
این ابزار به نام CRYLOGGER در سپتامبر و اکتبر سال 2019برای تست 1780 برنامه محبوب اندرویدی در 33 دسته بندی از فروشگاه گوگل پلی، مورد استفاده قرار گرفت.
به گفته محققان، این ابزار طبق 26 قانون اولیه و اساسی رمز نگاری ، توانست باگ هایی را در 306 برنامه اندرویدی پیدا کند. بعضی از این اپلیکیشن ها یک مورد و برخی ،چندین مورد از این قانون ها را زیرپا گذاشته بودند.
3مورد از رایج ترین قانون های نقض شده عبارتند از:
قانون 18: از مولد های اعداد شبه تصادفی غیر ایمن استفاده نکنید
قانون1: از تابع درهم ساز(هش) شکسته استفاده نکنید.
قانون4: از حالت های عملیلتی CBCاستفاده نکنید.
این ها قانون های ابتدایی هستند که هر رمزنویسی با آن آشنا است.
به گفته تیم تحقیقاتی دانشگاه کلمبیا، پس از انجام آزمایش و مشخص شدن اپلیکیشن های در معرض خطر، این تیم به برنامه های مورد نظر ایمیل زده است. اما تنها 18 برنامه پاسخگو بودند و دیگر اپلیکیشن ها به آن توجهی نکردند.
گفتنی است همه این اپلیکیشن ها از برنامه های محبوب فروشگاه گوگل پلی هستند و جزو پر دانلود ترین برنامه های این فروشگاه محسوب می شوند.
از آنجایی که تعداد بسیاری کمی از این برنامه ها پاسخگوی این مشکل بودند، گروه تحقیقاتی دانشگاه کلمبیا به دلیل احتمال سوء استفاده دیگران از داده های کاربران نام آن ها را فاش نکرد.
در مجموع این تیم تحقیقاتی معتقد است که آن ها ابزاری قدرتمند را طراحی کرده اند و این فناوری می تواند به اپلیکیشن ها در حفظ امنیت رمزنگاریشان کمک بزرگی کند.
CRYLOGGERمی تواند مکمل خوبی برای سرویس CryptoGuardباشد. با این تفاوت که CryptoGuardرمز را قبل از تولید بررسی می کند اما CRYLOGGERدر حین تولید رمز آن را بررسی می کند. به اعتقاد محققان هردوی آن ها می توانند در جهت شناسایی باگ های مربوط به رمز نگاری کارآمد باشند.
