To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild

Wickert, Anna-Katharina ; Baumgärtner, Lars ; Schlichtig, Michael ; Narasimhan, Krishna ; Mezini, Mira (2022)
To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild.
21st International Conference on Trust, Security and Privacy in Computing and Communications. Wuhan, Peoples Republik of China (09.12.2022-11.12.2022)
doi: 10.1109/TrustCom56396.2022.00051
Konferenzveröffentlichung, Bibliographie

URL / URN: https://ieeexplore.ieee.org/abstract/document/10063348/

Kurzbeschreibung (Abstract)

Recent studies have revealed that 87 % to 96 % of the Android apps using cryptographic APIs have a misuse which may cause security vulnerabilities. As previous studies did not conduct a qualitative examination of the validity and severity of the findings, our objective was to understand the findings in more depth. We analyzed a set of 936 open-source Java applications for cryptographic misuses. Our study reveals that 88.10 % of the analyzed applications fail to use cryptographic APIs securely. Through our manual analysis of a random sample, we gained new insights into effective false positives. For example, every fourth misuse of the frequently misused JCA class MessageDigest is an effective false positive due to its occurrence in a non-security context. As we wanted to gain deeper insights into the security implications of these misuses, we created an extensive vulnerability model for cryptographic API misuses. Our model includes previously undiscussed attacks in the context of cryptographic APIs such as DoS attacks. This model reveals that nearly half of the misuses are of high severity, e.g., hard-coded credentials and potential Man-in-the-Middle attacks.

Typ des Eintrags:

Konferenzveröffentlichung

Erschienen:

2022

Autor(en):

Wickert, Anna-Katharina ; Baumgärtner, Lars ; Schlichtig, Michael ; Narasimhan, Krishna ; Mezini, Mira

Art des Eintrags:

Bibliographie

Titel:

To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild

Sprache:

Englisch

Publikationsjahr:

12 Dezember 2022

Verlag:

IEEE

Buchtitel:

Proceedings: 2022 IEEE 21st International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom 2022)

Veranstaltungstitel:

21st International Conference on Trust, Security and Privacy in Computing and Communications

Veranstaltungsort:

Wuhan, Peoples Republik of China

Veranstaltungsdatum:

09.12.2022-11.12.2022

DOI:

10.1109/TrustCom56396.2022.00051

URL / URN:

https://ieeexplore.ieee.org/abstract/document/10063348/

Kurzbeschreibung (Abstract):

Alternatives oder übersetztes Abstract:

Alternatives Abstract

Sprache

Jüngste Studien haben ergeben, dass 87 % bis 96 % der Android-Apps, die kryptografische APIs verwenden, einen Missbrauch aufweisen, der zu Sicherheits Schwachstellen verursachen können. Da in den früheren Studien keine qualitative Validität und Schwere der Befunde nicht qualitativ untersucht haben, war es unser Ziel war es unser Ziel, die Ergebnisse genauer zu verstehen. Wir analysierten einen Satz von 936 Open-Source-Java-Anwendungen auf kryptografische Missbräuche. Unsere Studie zeigt, dass 88,10 % der analysierten Anwendungen kryptografische kryptografische APIs nicht sicher nutzen. Durch unsere manuelle Analyse einer zufälligen Stichprobe haben wir neue Erkenntnisse über effektive Fehlalarme gewonnen. Für zum Beispiel ist jeder vierte Missbrauch der häufig missbrauchten JCA-Klasse MessageDigest ein effektiver Fehlalarm, da er in einem Nicht-Sicherheits-Kontext. Da wir einen tieferen Einblick in die Auswirkungen dieser Missbräuche auf die Sicherheit gewinnen wollten, haben wir ein umfassendes Schwachstellenmodell für den Missbrauch von kryptografischen APIs. Unser Modell umfasst bisher nicht diskutierte Angriffe im Zusammenhang mit kryptografischen APIs wie DoS-Angriffe. Dieses Modell zeigt, dass fast die Hälfte der Missbräuche schwerwiegend sind, z. B. hart kodierte Anmeldeinformationen und potenzielle Man-in-the-Middle-Angriffe.

Deutsch

Freie Schlagworte:

Engineering (E1), Secure Software Engineering (SSE), Software Technology Group (STG)

Fachbereich(e)/-gebiet(e):

20 Fachbereich Informatik
20 Fachbereich Informatik > Softwaretechnik
DFG-Sonderforschungsbereiche (inkl. Transregio)
DFG-Sonderforschungsbereiche (inkl. Transregio) > Sonderforschungsbereiche
20 Fachbereich Informatik > EC SPRIDE
20 Fachbereich Informatik > EC SPRIDE > Secure Software Engineering
DFG-Sonderforschungsbereiche (inkl. Transregio) > Sonderforschungsbereiche > SFB 1119: CROSSING – Kryptographiebasierte Sicherheitslösungen als Grundlage für Vertrauen in heutigen und zukünftigen IT-Systemen

Hinterlegungsdatum:

10 Jul 2023 10:33

Letzte Änderung:

10 Jul 2023 10:33

PPN:

Export: