最新研究表明, 免費的安卓手機應用程式開發者都會將金鑰寫入手機應用中, 有些倒不是作者故意為之, 而是因為一些安卓手機開發套件在安裝過程中會默認同時安裝金鑰。
美國國家互聯網應急處理協調中心(CERT/CC)的軟體安全研究人員Will Dormann表示, 他在掃描將近180萬個免費的安卓手機應用後發現很多應用程式都存在這個安全隱患, 包括金鑰重建、VPN密碼還有固件中的管理員密碼也會洩露。 當然這些安全隱患目前僅存在免費的手機應用中, 不過相信付費版的手機應用程式也存在或多或少類似的問題。
在他掃描過的那些免費手機應用程式中, 就有之前提到過的三星手機的內置軟體smart home存在密碼洩露的安全風險。 一些手機應用開發人員為了圖方便就會將密碼內置在應用軟體中。
甚至還發現有一款安卓手機應用中不僅將開發人員用於登錄安卓商店和iOS app store的登錄詳細資訊寫入了軟體中,
提醒使用Appinventor的用戶在開發安卓手機應用時, 需要修改該開發套件的默認設置, 因為在其中預設情況下會將金鑰在軟體發佈時寫入手機應用軟體中。 Appinventor在更新後也修復該安全隱患。 軟體金鑰存儲沒什麼用, Java和羽量級密碼術包(Bouncy Castle)的金鑰存儲並不會對軟體本身起到保護, 只是對密碼進行加密。 但是現在卻發現兩者對密碼的加密也非常糟。
Will Dormann使用了兩款密碼破解工具:Jack the Ripper和Hashcat。 由於這些密碼破解工具的不斷升級更新, 能夠智慧判斷一些常用的簡單密碼組合, 因此只需通過GPU的暴力破解就能找到一些開發人員隨意設置的簡單密碼。
因此密碼的設置一定要夠長夠複雜, 還需要考慮避免使用一些密碼破解字典中收錄的常用密碼, 例如“QWERTY”這樣的腦殘密碼!
更多有趣科技文章, 歡迎關注我們:
http://www.wttech.org/