千万个美丽的未来,抵不上一个温暖的现在。每一个真实的现在,都是我们曾经幻想的未来。
比起纠结于过去,请多思考未来。
一个人若是学会了自己陪伴自己,便学到了人生最重要的一项生活技能。
“最怕和自己在乎的人慢慢变远,变淡,变陌生的过程,真的是发自内心的疼”
「7」读物
【哥大科学家:1780个主流安卓应用几乎都有加密漏洞】哥大团队开发了名叫CRYLOGGER的检测工具,查找安卓App里的加密漏洞。在谷歌市场33个大类别下,1780个被测的主流应用几乎全军覆没。在26条检测规则中,有306个应用违反了9条以上,最多的违反了18条。其中,有3条规则被冒犯得最多:
第18条,不能用不安全的伪随机数生成器(PRNG)。有1775个应用违反此条。PRNG生成的序列和真随机数近似,只不过它生成的结果是由一个初始值决定,不是真随机。如果开发者使用的PRNG没有通过加密安全测试,它生成的序列就有被预测出的风险。
第1条,不能用坏的哈希函数(如SHA1、MD2、MD5)。有1764个应用违反此条。原本输入不同的文本,哈希函数该把它们对应到不同的字符串。假如输入不同文本却得到相同字符串,便是发生了“哈希碰撞”。而碰撞概率大的哈希函数就是不好的,因为黑客利用适当的哈希值,便可能把恶意文件伪装成合法文件通过验证。
第4条,不能用密码分组链接(CBC)模式加密。有1076个应有违反此条。这种加密模式很容易受到密文填充攻击(Padding Oracle Attack):由于CBC加密块要求大小固定,如果大小不同就需要填充到固定大小。假如系统解密后发现长度不满足,就不会反回。但黑客容易依靠枚举构造出一个密文,使得系统认定填充正确。
为了验证检测工具准不准,团队还对28个App做了反向工程,确认那些漏洞真的存在。这项研究成果,即将登上明年的IEEE系统安全会议(IEEE S&P 2020)。
在那之前,科学家们还给有9种以上漏洞的306个应用开发者发去了邮件,不过收到回复并引起重视的寥寥无几。
💖【联系我们】人工服务[点击联系]
请登录后查看评论内容