Haberler
306 Android Uygulamasında Şifreleme Zafiyeti Tespit Edildi
CRYLOGGER adı verilen yeni bir araç ile 2 bine yakın Android uygulaması analiz edildi ve 306’sında zafiyet bulunduğu anlaşıldı.
ABD’de Columbia Üniversitesi’nden bir grup akademisyen, Android uygulamalarının şifreleme kodlarında güvenlik zafiyeti bulunup bulunmadığını tespit eden bir araç geliştirdi. Eylül-2019 ile Ekim-2019 arasında CRYLOGGER adı verilen araç ile 33 farklı Google Play kategorisinde yer alan toplam 1.780 Android uygulaması analiz edildi.
Uygulamalarda 26 temel şifreleme kuralını tarayan araç, 306 uygulamada güvenlik zafiyeti bulunduğunu ortaya çıkardı. Söz konusu uygulamalarda en çok ihlal edilen kurallar şu şekildeydi:
- 775 uygulamada ‘Güvenli olmayan bir PRNG (sözde rastgele dizi rakam üreticisi)’
- 764 uygulamada ‘Kırılmış hash fonksiyonları (SHA1, MD2, MD5, vb.)’
- 076 uygulamada ‘CBC operasyon modu (istemci/sunucu senaryoları)’ kullanıldığı anlaşıldı.
Güvenlik zafiyeti tespit edilen uygulama geliştiricilerle tek tek temas kurulduğunu kaydedildi. İndirilme sayıları 100 bin ile 100 milyon arasında değişen uygulamalardan maalesef sadece 18’inin geliştiricisi akademisyenlerin uyarısına cevap verdi. Bu 18’i arasından da 8’i bildirilen güvenlik açıkları hakkında çok sayıda geri bildirimde bulunmayı tercih etti.
Bazı şifreleme zafiyetleri uygulamanın kodunda yer alırken, bir kısmı Java kitaplıkları olarak sunulan ortak zafiyetler halinde belirdi. Araştırmacılar, altı popüler Android kitaplığı geliştiricisi ile temas kurulduğunu, ancak sadece ikisinin cevap verdiğini belirtti.
Şifreleme uzmanları tarafından yakından bilinen kurallar olmasına karşın bazı geliştiricilerin güvenlik uygulamalarının (AppSec) çok iyi çalışmadığı veya yazılım geliştirme alanına adım atmadan önce gelişmiş şifreleme konusunda eğitim almadıkları da anlaşıldı.
Uygulama geliştiricilerin büyük kısmının tepkisizliği ile birlikte siber korsanların tespit edilen açıklardan fayda sağlamasını önlemek için zafiyet bulunan uygulamalar ve Android kitaplıklarının hangileri olduğu kamuoyu ile paylaşılmadı.