Pesquisadores da Universidade de Columbia, em Nova York, criaram uma ferramenta para checar se os aplicativos mais populares para Android usam a criptografia de maneira segura. Os resultados, no entanto, apontaram vulnerabilidades em quase todos eles.

A Crylogger, como foi chamada, inspecionou 1.780 aplicativos de 33 categorias na Play Store. A análise levou em consideração uma lista de 26 princípios básicos da criptografia, que, entre outras coisas, sugerem que sejam obedecidas as recomendações do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) para a criação de senhas; e que não sejam utilizadas funções hash quebradas ou chaves RSA muito curtas, por exemplo. 

Dos aplicativos examinados, 1.775 infringiram pelo menos uma regra, e 306 violaram nove ou mais. 

As infrações mais frequentes foram as seguintes:

  • 1.775 apps usaram geradores de números pseudoaleatórios (PRNG) precários;
  • 1.764 apps usaram funções hash quebradas, como SHA1, MD2 e MD5;
  • 1.076 apps usaram o modo de operação cipher-block chaining (CBC) em cenários cliente/servidor, o que não é recomendado.

Reprodução

Pelo menos 1.775 aplicativos populares na Play Store apresentam falhas na criptografia, afirmam pesquisadores. Imagem: BigTunaOnline/Shutterstock

Os pesquisadores explicam que essas regras são primordiais, e que qualquer criptógrafo deve conhecê-las bem. Entretanto, alguns desenvolvedores podem não estar familiarizados a elas por não terem estudado criptografia avançada antes de entrarem no mercado de aplicativos.  

Eles afirmam que tentaram entrar em contato com os 306 apps considerados mais vulneráveis, mas que só obtiveram resposta de 18, e, deste número, apenas oito trabalharam em correções e forneceram feedback útil sobre as descobertas. 

“Algoritmos criptográficos são os ingredientes essenciais de qualquer sistema seguro. Funções hash, por exemplo, podem garantir propriedades como integridade e confidencialidade”, explicam. 

Os pesquisadores optaram por não revelar os nomes dos aplicativos vulneráveis porque temem que as informações beneficiem os invasores, mas garantem que todos eles são muito populares, com centenas de milhares de downloads, e que abrangem desde serviços de streaming a aplicativos de jornais e gerenciadores de arquivos. 

Via: Help Net Security