最新研究表明安卓文件加密软件,免费安卓移动应用的开发者会在移动应用中写入密钥,有些不是故意的,而是因为一些安卓移动开发包在安装过程中默认安装了密钥。
美国国家互联网应急响应协调中心(CERT/CC)的软件安全研究员威尔·多尔曼(Will Dormann)表示,在扫描了近 180 万个免费的 Android 手机应用程序后安卓文件加密软件,他发现很多应用程序都存在这种安全风险,包括密钥重构、VPN固件中的密码和管理员密码也被泄露。当然,这些安全隐患目前只存在于免费的移动应用中,但我相信付费版本的移动应用也或多或少存在类似的问题。
在他扫描的免费手机应用中,有之前提到的三星手机内置软件——智能家居,存在密码泄露的安全隐患。为了方便起见,一些移动应用程序开发人员在他们的应用程序中构建了密码。
甚至发现,一款安卓手机应用不仅将开发者登录安卓商店和iOS应用商店的登录信息写入软件,还写入了软件应用的管理员密码。大多数其他 Android 手机应用程序将此信息隐藏在 .png 或 .apk 文件中。
使用Appinventor的用户请注意,在开发Android手机应用程序时,需要修改开发包的默认设置,因为默认情况下,软件发布时,密钥会写入手机应用软件。Appinventor 还在更新后修复了此安全风险。软件密钥存储没用,Java 和轻量级加密包(Bouncy Castle)密钥存储不保护软件本身,只加密密码。
但现在事实证明,密码的加密也很糟糕。Will Dormann 使用了两种密码破解工具:Jack the Ripper 和 Hashcat。由于这些密码破解工具的不断升级更新,一些常见的简单密码组合可以智能判断出来,所以一些开发者随意设置的简单密码只能通过GPU的暴力破解才能找到。用了之后觉得Hashcat比较好用。它不仅可以识别普通人常用密码习惯中的第一个字母的大写字母,还可以识别密码末尾的感叹号和常用的4位日期密码格式。
所以密码设置要足够长、足够复杂,还要考虑避免使用密码破解字典中收录的一些常见密码,比如“QWERTY”这样的脑死密码!
