Tusentals Android-appar har inbyggda kryptonycklar och lösenord

0 Shares

Rött och blått säkerhetshänglås

Ett stort antal gratis Android-appar lider med fläckig säkerhet eftersom programutvecklare lämnar kryptografiska nycklar inbäddade och lösenord hårdkodade.

På talet vid BSides säkerhetskonferens i San Francisco avslöjade programvarusårbarhetsanalytikern Will Dormann hur han hade hittat allvarliga säkerhetsproblem i tusentals tusentals appar. Efter att ha testat 1,8 miljoner appar hittade han nästan 20 000 inbyggda lösenord och nycklar, och även när en separat lösenordsbutik användes var användardata fortfarande öppen för attacker från enkla lösenordshackare.

Se även:

Dormann arbetar på CERT Coordination Center (CERT / CC) och fokuserade på de kostnadsfria verktygen som fler människor sannolikt kommer att använda, men han fann att även om det var förvånansvärt vanligt att upptäcka att nycklar, koder och lösenord var inbäddade i appar – antingen genom latskap eller för att det är så speciella SDK: er fungerar – vissa appar var bättre på att dölja vad som hände än andra.

Ett utvecklingsverktyg – Appinventor – hittades för att hårdkoda sekretessnycklar i appar, även om detta är något som har tagits upp i en uppdatering.

Dormann betonade också användarnas lathet när de valde lösenord och slog dem med enkla, fritt tillgängliga verktyg. Han använde brute force-lösenordsmackare Jack the Ripper och Hashcat för att framgångsrikt samla ett stort antal lösenord från nyckelbutikerna Java och Bouncy Castle och noterade i registret att sådana crackers var bra på att plocka upp och utnyttja vanliga lösenordsskapande drag:

Hashcat är mycket bättre på det här. Det känner inte bara igen den mänskliga vanan med att använda stora bokstäver, det kan också söka efter utropstecken i slutet av ett lösenord och även fyra siffror, eftersom många människor lägger till datum.

Bildkredit: deepadesigns / Shutterstock

0 Shares