btbilgi

Gün geçmiyor ki Android uygulamalarında bir dizi güvenlik açığı bulunmasın. Bu yöndeki en son araştırma Columbia Üniversitesi’nden geldi. Bir akademisyen ekibi Android uygulamalarını dinamik olarak analiz etmek ve şifreleme kodunu güvenli şekilde kullanıp kullanmadıklarını görmek için özel bir araç geliştirmiş. ‘CRYLOGGER’ adı verilen aracı, Eylül ve Ekim 2019’da 33 farklı Play Store kategorisinden en popüler 1.780 Android uygulamasını test etmek için kullanmışlar. Sonuçlar iç açıcı değil.

Bir bilimsel makalede paylaşılan araştırmanın sonuçlarına göre araç 26 temel kriptografi kuralını kontrol etmekte. Test edilen bazı uygulamalar tek bir kuralı ihlal ederken, diğerleri birden fazla kuralı çiğnemiş durumda. En çok çiğnenen ilk üç şifreleme kuralı sırasıyla ‘güvenli olmayan bir PRNG (sözde rasgele sayı üreteci) kullanmak’ (1.775 uygulama), ‘bozuk şifre fonksiyonları kullanmak’ (1.764 uygulama) ve ‘CBC çalışma modunu kullanmak (istemci/sunucu senaryoları) (1.076 uygulama). Bu kuralların ihlal edilmesinin sebebi olarak, bazı uygulama geliştiricilerinin bu alana girmeden önce uygulama güvenliği (AppSec) veya gelişmiş kriptografi çalışmamış olmaları veriliyor.

300’den fazla Android uygulamasında şifreleme açıkları
Kaynak: Columbia Üniversitesi

Test edilen uygulamaların her birinin yüz binlerce indirmeden 100 milyonun üzerinde indirmeye kadar geniş bir popüleriteye sahip olduğu aktarılmakta. Araştırma ekibi uygulamaları test ettikten sonra, ciddi açıklar olduğu saptanan 306 Android uygulamasının geliştiricileriyle iletişime geçmiş. Ne yazık ki yalnızca 18 geliştirici ilk e-postaya yanıt vermiş. Bunlardan yalnızca 8 tanesi ekibin bulguları ile ilgili yararlı geri bildirimler almak için görüşmelere başlamış. Araştırmacılar 6 popüler Android kitaplığının (library) geliştiricileriyle de iletişime geçtiklerini, ancak sadece ikisinden yanıt aldıklarını söylüyorlar.

Ne yazık ki iletişime geçilen geliştiricilerin hiçbiri uygulamalardaki ve kitaplıklardaki açıkları henüz kapatmamış. Bu nedenle de araştırma ekibi açık yakalanan savunmasız uygulamaların isimlerini yayımlamıyorlar. Böylece kötü niyetli kişilerin açıklardan faydalanmaya çalışması engellenmekte.

Ekip bununla da kalmamış, ‘CryptoGuard’ adı verilen bir destek programı da oluşturmuş. CRYLOGGER’ın dinamik bir analiz aracı olduğu, yani kod çalışırken analiz yaptığı; CryptoGuard’ın ise statik bir analizör olduğu, yani çalıştırılmadan önce kaynak kodunu analiz ettiği bilgisi verilmiş. Böylece iki aracın işlevlerinin birbirini tamamlaması amaçlanmış.

Akademisyenler bu iki aracı oluşturarak, uygulama kodunun kullanıcılara gelmeden önce şifreleme açısından güvenli olup olmadığının kolayca test edilebilmesine yardımcı olmak istediklerini ifade etmişler. Her iki aracın kodunun da GitHub platformundan bulunabileceği belirtilmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.