Columbia Engineering的計(jì)算機(jī)科學(xué)家首次表明，可以分析成千上萬(wàn)個(gè)Android應(yīng)用程序如何使用加密技術(shù)，而無(wú)需掌握應(yīng)用程序的實(shí)際代碼。團(tuán)隊(duì)的新工具CRYLOGGER可以判斷Android應(yīng)用何時(shí)不正確使用加密技術(shù)-它檢測(cè)到Android應(yīng)用中所謂的“加密濫用”。當(dāng)獲得安全加密應(yīng)遵循的規(guī)則列表(由專家密碼學(xué)家和組織(例如NIST和IETF)制定的定義安全標(biāo)準(zhǔn)以保護(hù)敏感數(shù)據(jù)的準(zhǔn)則時(shí)，CRYLOGGER將檢測(cè)到違反這些規(guī)則的情況。

Android應(yīng)用程序使用加密算法來(lái)保護(hù)用戶的數(shù)據(jù)(例如信用卡號(hào)，密碼，社會(huì)保險(xiǎn)號(hào)等)的安全。如果使用正確，則加密技術(shù)可以使敏感數(shù)據(jù)變得難以理解，從而保護(hù)了敏感數(shù)據(jù)。每種密碼算法都適用于特定情況，并且需要配置特定參數(shù)。但是，應(yīng)用程序和庫(kù)開發(fā)人員可能會(huì)通過(guò)使用恒定鍵，弱密碼或錯(cuò)誤配置其他特定參數(shù)來(lái)濫用此類算法的應(yīng)用程序編程接口(API)。

研究的主要作者盧卡·皮科博爾博尼(Luca Piccolboni)說(shuō)：“選擇正確的算法并配置其參數(shù)對(duì)于確保用戶數(shù)據(jù)的安全至關(guān)重要，但這需要對(duì)密碼學(xué)有所了解。” 由計(jì)算機(jī)科學(xué)教授Luca Carloni建議的學(xué)生。“算法選擇錯(cuò)誤和/或參數(shù)配置錯(cuò)誤會(huì)導(dǎo)致數(shù)據(jù)泄露。”

CRYLOGGER是第一個(gè)通過(guò)運(yùn)行應(yīng)用程序而不是分析其代碼來(lái)檢測(cè)密碼濫用的工具。這種新方法將在5月23日至27日于2021年IEEE安全與隱私研討會(huì)上發(fā)表的論文中進(jìn)行描述。除Piccolboni和Carloni外，該論文還由計(jì)算機(jī)科學(xué)系副研究員Giuseppe Di Guglielmo撰寫，計(jì)算機(jī)科學(xué)副教授，網(wǎng)絡(luò)安全專家Simha Sethumadhavan。