新工具可檢測Android應用中的不安全安全做法

Columbia Engineering的計算機科學家首次表明，可以分析成千上萬個Android應用程序如何使用加密技術，而無需掌握應用程序的實際代碼。團隊的新工具CRYLOGGER可以判斷Android應用何時不正確使用加密技術-它檢測到Android應用中所謂的“加密濫用”。當獲得安全加密應遵循的規則列表(由專家密碼學家和組織(例如NIST和IETF)制定的定義安全標準以保護敏感數據的準則時，CRYLOGGER將檢測到違反這些規則的情況。

Android應用程序使用加密算法來保護用戶的數據(例如信用卡號，密碼，社會保險號等)的安全。如果使用正確，則加密技術可以使敏感數據變得難以理解，從而保護了敏感數據。每種密碼算法都適用于特定情況，并且需要配置特定參數。但是，應用程序和庫開發人員可能會通過使用恒定鍵，弱密碼或錯誤配置其他特定參數來濫用此類算法的應用程序編程接口(API)。

研究的主要作者盧卡·皮科博爾博尼(Luca Piccolboni)說：“選擇正確的算法并配置其參數對于確保用戶數據的安全至關重要，但這需要對密碼學有所了解。” 由計算機科學教授Luca Carloni建議的學生。“算法選擇錯誤和/或參數配置錯誤會導致數據泄露。”

CRYLOGGER是第一個通過運行應用程序而不是分析其代碼來檢測密碼濫用的工具。這種新方法將在5月23日至27日于2021年IEEE安全與隱私研討會上發表的論文中進行描述。除Piccolboni和Carloni外，該論文還由計算機科學系副研究員Giuseppe Di Guglielmo撰寫，計算機科學副教授，網絡安全專家Simha Sethumadhavan。