Аналітик з вразливостей програмного забезпечення в Координаційному центрі CERT (CERT/CC) Уіл Дорман (Will Dormann) повідомив на конференції BSides у Сан-Франциско про виявлення у більшості Android-додатках вбудованих криптографічних ключів, пише Іnternet.ua.
За словами експерта, він просканував близько 1,8 мільйонів безкоштовних додатків для ОС Android і виявив велику кількість проблем безпеки. Ключі PGP, коди VPN і вшиті паролі адміністратора були доступні в багатьох програмах.
«Я просканував тільки безкоштовні додатки. Впевнений, у платних додатків є аналогічгі проблеми», – зазначив спеціаліст.
Загалом Дорман виявив майже 20 тисяч програм з незахищеними ключами, в тому числі в популярному додатку Samsung для «розумного» дому.
Дорман також звернув увагу на інструмент для розробників Appinventor, який за замовчуванням вбудовує закриті ключі в додаток. На даний момент розробники інструменту вже виправили дану проблему.
У сховищі програмних ключів також було виявлено багато проблем. Сховища ключів Java та Bouncy Castle не шифруються на рівні контейнера і покладаються на захист паролем, якого, за словами спеціаліста, недостатньо.
А рамках експерименту експерт використовував для зламу вразливих додатків два популярних зломщика паролів – Jack the Ripper та Hashcat.
«Hashcat показав себе набагато краще. Він не тільки розпізнає людську звичку робити заголовною саме першу літеру, але також перевіряти знаки оклику в кінці паролю, а також чотири цифри, тому що багато людей додають дати», – відзначив спеціаліст.
