| 0 |
|
Приложения Android используют криптографические алгоритмы для защиты данных пользователей, таких как номера кредитных карт, пароли, номера социального страхования и т.д. При правильном использовании криптография делает конфиденциальную информацию нечитаемой для посторонних.
Однако разработчики приложений и библиотек могут допускать промахи, работая с прикладными программными интерфейсами (API) таких алгоритмов, например, выбирать одинаковые ключи или слабые пароли. Ошибки, допущенные при конфигурировании таких алгоритмов могут послужить причиной прорывов безопасности.
Компьютерные специалисты из Школы инженерных и прикладных наук Колумбийского университета в Нью-Йорке (Columbia Engineering) показали CRYLOGGER — инструмент с открытыми исходниками, впервые позволяющий устанавливать правильность применения криптографии в приложениях для Android без анализа их программного кода.
В статье, подготовленной для весеннего симпозиума IEEE по безопасности и приватности, они перечислили основные преимущества CRYLOGGER:
-
Этот инструмент может анализировать ПО с закрытым исходником, не требует изменения кода приложения или его двоичного файла.
-
Он проверяет параметры, реально используемые приложением, и анализирует только тот код, который фактически исполняется.
-
Он способен выполнять оценку взаимодействий между приложениями: обнаруживать, что два приложения небезопасно обмениваются данными или, что данные совместно используются несколькими приложениями, когда этого не должно происходить.
Исследователи опробовали свой новый подход на 1780 популярных программах, загруженных из Google Play Store. CRYLOGGER выявил, что почти все приложения содержали код или библиотеки, которые не соответствовали стандартам безопасности. Многие из них использовали взломанные алгоритмы, а другие применяли для защиты пользовательских данных небезопасные практики шифрования.
Не всякое найденное нарушение возможно использовать для атаки, поэтому авторы предпочитают трактовать сигналы CRYLOGGER как предупреждения, требующие дальнейшего изучения. Однако из более трёх сотен разработчиков программ, только с десятью им удалось наладить продуктивный контакт. К примеру, многие разработчики не считают, что такие угрозы, как повышение привилегий и атаки по побочным каналам, актуальны для телефонов, поэтому они хранят данные локально без соблюдения достаточных мер безопасности.
Команда Columbia Engineering самостоятельно, вручную проверила код 28 Android-программ и доказала, что по крайней мере некоторые из нарушений, обнаруженных CRYLOGGER, могут поставлять реальную опасность. Они видят два основных сценарии использования этого инструмента: 1) разработчиками для поверки своих программ и используемых ими сторонних библиотек; и 2) магазинами приложений — при аудите безопасности предлагаемых продуктов, прежде чем выложить их для загрузки конечными пользователями.
Авторы CRYLOGGER подолжают совершенствовать свой инструмент, чтобы снизить число ложных срабатываний. Кроме того, они интегрируют проверку соблюдения правил криптографии в аппаратное обеспечение, это должно заставить приложения использовать безопасные методы в критических ситуациях.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
