Peneliti Temukan Bug Kripto Berbahaya di 306 Aplikasi Android
Team periset dari Columbia University meningkatkan satu alat (alat) untuk menganalisis apa aplikasi-aplikasi Android memakai code kriptografi dalam langkah yang tidak aman.
| Tips Mengkilapkan Bulu Ayam Bengkok |
Alat namanya Crylogger ini sudah digunakan untuk mengetes 1.780 aplikasi terkenal Android di 33 kelompok, pada September serta Oktober 2019.
Beberapa periset menyebutkan, alat ini memeriksa 26 ketentuan kriptografi serta mendapatkan bug di 306 aplikasi Android. Beberapa aplikasi sudah menyalahi satu ketentuan serta beberapa aplikasi lain menyalahi lebih satu ketentuan kriptografi.
Mengenai ketentuan yang terbanyak dilanggar ialah larangan memakai PRNG yang tidak aman (1.775 aplikasi), larangan pemakaian peranan hash yang rusak (1.764 aplikasi), serta larangan pemakaian model operasi CBC (1.076 aplikasi).
Beberapa aturan di atas adalah ketentuan standard, sayangnya beberapa pengembang aplikasi tidak mengetahui jika pelanggaran itu dapat menyebabkan bahaya.
Mencuplik ZDnet, Selasa (8/9/2020), periset Columbia University menyebutkan, sesudah mereka lakukan pengujian aplikasi, mereka mengontak 306 pengembang Android yang aplikasinya dipandang rawan.
"Semua aplikasi cukup terkenal, dengan jumlah unduhan dari mulai beberapa ratus ribu sampai lebih dari 100 juta. Sayangnya cuma 18 pengembang yang menjawab e-mail kami serta cuma 8 yang terus memberikan operan balik atas penemuan kami," kata salah satunya periset dari Columbia University.
Beberapa bugs kripto berada di code aplikasi, beberapa bug lagi termasuk juga untuk sisi dari library Java yang digunakan pada aplikasi.
Beberapa periset menyebutkan, mereka sudah mengontak 6 pengembang library aplikasi Android terpenting, tetapi cuma memperoleh jawaban dari 2 salah satunya.
Sebab tidak ada pengembang yang melakukan perbaikan aplikasi serta library mereka, periset mengendalikan diri tidak untuk mengeluarkan nama aplikasi serta library yang dipandang rawan. Ini dilaksanakan untuk hindari pemanfaatan atas aplikasi.
Team periset yakin, mereka meningkatkan alat yang dapat dipercayai oleh pengembang Android, untuk pelengkap CryptoGuard.
Ke-2 alat itu sama-sama lengkapi sebab CryptoGuard berperan menganalisa source kode sebelum digerakkan. Sesaat Crylogger ialah alat analisa dinamis yang berperan menganalisa code saat digerakkan.
Sebab kedua-duanya kerja pada level yang lain, pada periset yakin kedua-duanya dapat dipakai untuk mengetahui bugs kriptografi di aplikasi Android, sebelum code digerakkan pada piranti pemakai.
