新工具可检测Android应用中的不安全安全做法

Columbia Engineering的计算机科学家首次表明，可以分析成千上万个Android应用程序如何使用加密技术，而无需掌握应用程序的实际代码。团队的新工具CRYLOGGER可以判断Android应用何时不正确使用加密技术-它检测到Android应用中所谓的“加密滥用”。当获得安全加密应遵循的规则列表(由专家密码学家和组织(例如NIST和IETF)制定的定义安全标准以保护敏感数据的准则时，CRYLOGGER将检测到违反这些规则的情况。

Android应用程序使用加密算法来保护用户的数据(例如信用卡号，密码，社会保险号等)的安全。如果使用正确，则加密技术可以使敏感数据变得难以理解，从而保护了敏感数据。每种密码算法都适用于特定情况，并且需要配置特定参数。但是，应用程序和库开发人员可能会通过使用恒定键，弱密码或错误配置其他特定参数来滥用此类算法的应用程序编程接口(API)。

研究的主要作者卢卡·皮科博尔博尼(Luca Piccolboni)说：“选择正确的算法并配置其参数对于确保用户数据的安全至关重要，但这需要对密码学有所了解。” 由计算机科学教授Luca Carloni建议的学生。“算法选择错误和/或参数配置错误会导致数据泄露。”

CRYLOGGER是第一个通过运行应用程序而不是分析其代码来检测密码滥用的工具。这种新方法将在5月23日至27日于2021年IEEE安全与隐私研讨会上发表的论文中进行描述。除Piccolboni和Carloni外，该论文还由计算机科学系副研究员Giuseppe Di Guglielmo撰写，计算机科学副教授，网络安全专家Simha Sethumadhavan。