تحقیق جدید: بسیاری از اپلیکیشن‌های چینی اندروید از رمزنگاری ایمن استفاده نمی‌کنند

تحقیق جدید محققان پرینستون نشان داده بسیاری از اپلیکیشن‌های چینی Mi استور شیائومی از رمزنگاری امنی استفاده نمی‌کنند. به‌ گفته محققان، 47.6 درصد برنامه‌های می استور امن نیستند.

محققان Citizen Lab و دانشگاه پرینستون در پژوهش جدیدی هزار و 699 اپلیکیشن اندرویدی (882 اپ از گوگل پلی و 817 اپ از می استور) را تجزیه‌وتحلیل کردند و دریافتند 47.6 درصد برنامه‌های می استور به رمزنگاری ناامنی متکی‌اند ولی این رقم برای اپ‌های گوگل پلی فقط 3.51 درصد است. محققان می‌گویند استفاده از این پروتکل‌های ناقص، به‌جای پروتکل امنیت لایه انتقال استاندارد (TLS)، داده‌های مهم کاربران را در معرض رهگیری قرار می‌دهد.

رمزنگاری ناامن اپلیکیشن‌های چینی

محققان با ابزار اختصاصی خود 9 سیستم رمزنگاری اپلیکیشن‌های اندرویدی را مهندسی معکوس کردند. آنها دریافتند 8 مورد از آنها ترافیک شبکه‌ای ارسال می‌کردند که در برابر رمزگشایی هکرها آسیب‌پذیر است.

نکته نگران‌کننده این بود که هرچه اپلیکیشنی در Mi استور محبوب‌تر باشد، احتمال استفاده از این سیستم‌های رمزنگاری آسیب‌پذیر بیشتر است. در 67.2 درصد برنامه‌هایی با بیش از یک‌میلیارد دانلود از پروتکل‌های ناامن استفاده شده. این رقم در برنامه‌هایی با کمتر از 50 میلیون دانلود 40.8 درصد است.

محققان در این پژوهش این نقاط ضعف را به سیستم‌های رمزنگاری توسعه‌یافته غول‌های فناوری چینی، ازجمله علی‌بابا، iQIYI، تنسنت و Kuaishou، نسبت می‌دهند. پروتکل‌ها معمولاً از طریق توسعه‌دهندگان شخص ثالث در بسیاری از اپلیکیشن‌ها قرار گرفته‌اند؛ برای مثال، سیستم mPaaS SDK علی‌بابا که برنامه‌هایی مانند UC Browser از آن استفاده می‌کنند، داده‌های مرورگر کاربر را با کلیدی استاتیک (ثابت) رمزگذاری می‌کند که هکرها به‌راحتی می‌توانند آن را استخراج کنند.

درکل سیستم‌های رمزنگاری اپ‌های چینی چند مشکل دارد که محققان به موارد زیر اشاره کرده‌اند: