Cryptografie rammelt bij kleine 20 procent Android-apps

Het onderzoek is uitgevoerd door de University of Columbia, die een tool heeft ontwikkeld om bij Android-apps te analyseren of deze cryptografische code op een onveilige manier toepassen. Elk van de 1780 onderzochte apps werd getest op de toepassing van op 26 basale cryptografische regels. De gegevensverzameling voor het onderzoek vond plaats in september en oktober vorig jaar. Zo werden 306 apps met problemen gevonden, soms zelfs met meerdere problemen.

De onderzoekers stellen dat de meest voorkomende problemen bestaan uit regels waar app-ontwikkelaars allemaal van op de hoogte moeten zijn. Het gaat om gebruik van pseudorandom number generator, van kreupele hashfuncties zoals SHA1, MD2 en MD5 en van operation mode CBC (client/server scenarios).

Daarnaast werden regels overtreden waarvan ontwikkelaars wellicht niet op de hoogte zijn als ze zich onvoldoende hebben verdiept in app security of geavanceerde cryptografie.

Reactie ontwikkelaars ontstellend

Nog kwalijker is de reactie van de ontwikkelaars op de pogingen van de onderzoekers om de zorgwekkende resultaten te bespreken. Slechts 18 ontwikkelaars reageerden op een eerste e-mail naar de bedrijven die verantwoordelijk waren voor de 306 kwetsbare apps. Tien daarvan haakten af nadat om meer informatie werd gevraagd.

Sommige van de problemen werden geïntroduceerd door het gebruik van door anderen ontwikkelde Java-libraries. Ook hier ontstond weer het hetzelfde beeld van onverschillige ontwikkelaars. Van de ontwikkelaars van zes populaire libraries die fouten bevatten, reageerden er maar twee op de pogingen tot contact die de onderzoekers deden.

De ontstellende conclusie van de onderzoekers is dat uiteindelijk geen van de app- of library-ontwikkelaars iets heeft aangepast en daarmee bewust de gebruikers van de apps aan risico's blootstellen.