تحقیق جدید محققان پرینستون نشان داده بسیاری از اپلیکیشنهای چینی Mi استور شیائومی از رمزنگاری امنی استفاده نمیکنند. به گفته محققان، 47.6 درصد برنامههای می استور امن نیستند.
محققان Citizen Lab و دانشگاه پرینستون در پژوهش جدیدی هزار و 699 اپلیکیشن اندرویدی (882 اپ از گوگل پلی و 817 اپ از می استور) را تجزیهوتحلیل کردند و دریافتند 47.6 درصد برنامههای می استور به رمزنگاری ناامنی متکیاند ولی این رقم برای اپهای گوگل پلی فقط 3.51 درصد است. محققان میگویند استفاده از این پروتکلهای ناقص، بهجای پروتکل امنیت لایه انتقال استاندارد (TLS)، دادههای مهم کاربران را در معرض رهگیری قرار میدهد.
محققان با ابزار اختصاصی خود 9 سیستم رمزنگاری اپلیکیشنهای اندرویدی را مهندسی معکوس کردند. آنها دریافتند 8 مورد از آنها ترافیک شبکهای ارسال میکردند که در برابر رمزگشایی هکرها آسیبپذیر است.
نکته نگرانکننده این بود که هرچه اپلیکیشنی در Mi استور محبوبتر باشد، احتمال استفاده از این سیستمهای رمزنگاری آسیبپذیر بیشتر است. در 67.2 درصد برنامههایی با بیش از یکمیلیارد دانلود از پروتکلهای ناامن استفاده شده. این رقم در برنامههایی با کمتر از 50 میلیون دانلود 40.8 درصد است.
محققان در این پژوهش این نقاط ضعف را به سیستمهای رمزنگاری توسعهیافته غولهای فناوری چینی، ازجمله علیبابا، iQIYI، تنسنت و Kuaishou، نسبت میدهند. پروتکلها معمولاً از طریق توسعهدهندگان شخص ثالث در بسیاری از اپلیکیشنها قرار گرفتهاند؛ برای مثال، سیستم mPaaS SDK علیبابا که برنامههایی مانند UC Browser از آن استفاده میکنند، دادههای مرورگر کاربر را با کلیدی استاتیک (ثابت) رمزگذاری میکند که هکرها بهراحتی میتوانند آن را استخراج کنند.
درکل سیستمهای رمزنگاری اپهای چینی چند مشکل دارد که محققان به موارد زیر اشاره کردهاند:
