Из 306 разработчиков приложений только 18 отреагировали на сообщение об уязвимости.
https://www.securitylab.ru/upload/ib...005c20c302.jpg
Специалисты Колумбийского университета https://www.computer.org/csdl/procee...60/1mbmHwIxTb2исследование на предмет безопасности Android-приложений. С помощью инструмента под названием https://github.com/lucapiccolboni/crylogger исследователи протестировали надежность криптографического кода 1 780 популярных приложений для Android из интернет-каталога Google Play Store и пришли к неутешительным выводам.
Как оказалось, 306 приложений содержали серьезные криптографические уязвимости. Самыми распространенными проблемами оказались использование небезопасного генератора псевдослучайных чисел, неработающие хеш-функции, использование режима работы CBC, повторное использование паролей (в том числе ненадежных) и пр.
Исследователи попытались связаться с разработчиками проблемного программного обеспечения, однако на сообщение ученых отреагировали лишь 18 из 306 производителей и только 8 из них оказались готовы к сотрудничеству в целях исправления уязвимости.
По словам исследователей, некоторые уязвимости присутствовали в программном коде, но ряд проблем был связан с уязвимыми Java-библиотеками в составе приложений. Специалисты отправили сообщения об уязвимостях разработчикам шести популярных библиотек, но только в двух случаях получили ответ.
В целях безопасности авторы исследования решили не публиковать названия уязвимых приложений, поскольку ни в одном из них уязвимости не были исправлены.