Google Play Store: bugs de chiffrement dans des applications

Les chercheurs ont découvert plus de 300 applications sur le Google Play Store qui cassent le code de cryptographie de base à l’aide d’un nouvel outil qu’ils ont développé pour l’analyser dynamiquement.

Les chercheurs de l’Université Columbia ont développé un outil personnalisé, CRYLOGGER, qui analyse les applications Android du Play Store pour détecter une utilisation non sécurisée du code cryptographique selon 26 règles de cryptographie de base. Ces règles consistent à éviter d’utiliser: des fonctions de hachage cassées, des mots de passe incorrects, la réutilisation des mots de passe plusieurs fois, des connexions URL HTTP ou une clé «mal dérivée» pour le chiffrement.

L’équipe de recherche, composée de Luca Piccolboni, Giuseppe Di Guglielmo, Luca P. Carloni et Simha Sethumadhavan, a ensuite lancé son analyse sur 1780 des applications les plus populaires du Play Store dans 33 catégories différentes. L’analyse de l’équipe a révélé que des centaines d’entre elles enfreignent au moins une, sinon plusieurs (jusqu’à 18 dans certains cas) de ces règles de base.

sha-1

La recherche jette un nouvel éclairage sur la facilité avec laquelle les applications du Play Store peuvent enfreindre les règles de sécurité de base, ont noté les chercheurs dans leur travail. Alors que les règles utilisées par l’équipe pour analyser les applications sont communes aux développeurs spécialisés en cryptographie, ceux qui créent des applications mobiles ne sont pas nécessairement des spécialistes dans ce domaine et peuvent donc commettre des erreurs très basiques.

Pour effectuer leur analyse, les chercheurs ont exécuté CRYLOGGER sur les 1780 applications du Play Store tout en les stimulant avec 30 000 événements aléatoires, l’appelant «un bon compromis entre la durée d’exécution et le nombre de vulnérabilités trouvées dans un sous-ensemble de ces applications». Leurs tests ont pris environ 10 jours pour s’exécuter sur un émulateur exécutant Android 9.0.0r36.

Trois des règles de cryptographie courantes les plus violées par les applications Android du Play Store analysées étaient les règles n°18, 1 et 4, figurant sur la liste des chercheurs. Ces règles sont: ne pas utiliser un PRNG dangereux ou un générateur de nombres pseudo-aléatoires, ne pas utiliser de fonction de hachage cassée et ne pas utiliser le mode de fonctionnement CBC.

chiffrement play store

Très peu de développeurs d’applications du Play Store ont répondu

Les chercheurs ont contacté les développeurs des 306 applications du Play Store et bibliothèques Android pour divulguer les vulnérabilités. Cependant, seuls 18 développeurs ont répondu au premier e-mail et huit seulement ont répondu par des «commentaires utiles» sur leurs résultats, ont-ils déclaré. L’équipe a également contacté six développeurs de bibliothèques Android, dont deux ont répondu.

CRYLOGGER est censé être un compagnon open-source et dynamique de CryptoGuard, un autre outil open-source disponible sur GitHub que les chercheurs considèrent comme «l’un des outils statiques les plus efficaces pour détecter les abus de crypto».

«Nous espérons que les développeurs d’applications l’adopteront pour vérifier leurs applications ainsi que les bibliothèques tierces qu’ils utilisent», ont écrit les chercheurs dans leur article (PDF) à propos de leur travail, qui sera présenté l’année prochaine en mai 2021 à l’IEEE Symposium sur la sécurité et la confidentialité.

L’équipe de Columbia a également rendu son outil disponible sur GitHub. Ils ont dit avoir choisi d’analyser dynamiquement le code pour plusieurs raisons. Bien que l’analyse statique ait ses avantages, elle peut créer de faux positifs ou négatifs ou manquer certaines des erreurs de cryptographie trouvées dans le code lors du chargement dynamique, ont écrit les chercheurs.

«La plupart des efforts de recherche récents se sont concentrés sur les approches statiques, alors que peu a été fait pour amener les approches dynamiques au même niveau d’exhaustivité et d’efficacité», ont écrit les chercheurs de l’Université Columbia.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x