TU Darmstadt / ULB / TUbiblio

To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild

Wickert, Anna-Katharina ; Baumgärtner, Lars ; Schlichtig, Michael ; Narasimhan, Krishna ; Mezini, Mira (2022)
To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild.
21st International Conference on Trust, Security and Privacy in Computing and Communications. Wuhan, Peoples Republik of China (09.-11.12.2022)
doi: 10.1109/TrustCom56396.2022.00051
Konferenzveröffentlichung, Bibliographie

Kurzbeschreibung (Abstract)

Recent studies have revealed that 87 % to 96 % of the Android apps using cryptographic APIs have a misuse which may cause security vulnerabilities. As previous studies did not conduct a qualitative examination of the validity and severity of the findings, our objective was to understand the findings in more depth. We analyzed a set of 936 open-source Java applications for cryptographic misuses. Our study reveals that 88.10 % of the analyzed applications fail to use cryptographic APIs securely. Through our manual analysis of a random sample, we gained new insights into effective false positives. For example, every fourth misuse of the frequently misused JCA class MessageDigest is an effective false positive due to its occurrence in a non-security context. As we wanted to gain deeper insights into the security implications of these misuses, we created an extensive vulnerability model for cryptographic API misuses. Our model includes previously undiscussed attacks in the context of cryptographic APIs such as DoS attacks. This model reveals that nearly half of the misuses are of high severity, e.g., hard-coded credentials and potential Man-in-the-Middle attacks.

Typ des Eintrags: Konferenzveröffentlichung
Erschienen: 2022
Autor(en): Wickert, Anna-Katharina ; Baumgärtner, Lars ; Schlichtig, Michael ; Narasimhan, Krishna ; Mezini, Mira
Art des Eintrags: Bibliographie
Titel: To Fix or Not to Fix: A Critical Study of Crypto-misuses in the Wild
Sprache: Englisch
Publikationsjahr: 12 Dezember 2022
Verlag: IEEE
Buchtitel: Proceedings: 2022 IEEE 21st International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom 2022)
Veranstaltungstitel: 21st International Conference on Trust, Security and Privacy in Computing and Communications
Veranstaltungsort: Wuhan, Peoples Republik of China
Veranstaltungsdatum: 09.-11.12.2022
DOI: 10.1109/TrustCom56396.2022.00051
URL / URN: https://ieeexplore.ieee.org/abstract/document/10063348/
Kurzbeschreibung (Abstract):

Recent studies have revealed that 87 % to 96 % of the Android apps using cryptographic APIs have a misuse which may cause security vulnerabilities. As previous studies did not conduct a qualitative examination of the validity and severity of the findings, our objective was to understand the findings in more depth. We analyzed a set of 936 open-source Java applications for cryptographic misuses. Our study reveals that 88.10 % of the analyzed applications fail to use cryptographic APIs securely. Through our manual analysis of a random sample, we gained new insights into effective false positives. For example, every fourth misuse of the frequently misused JCA class MessageDigest is an effective false positive due to its occurrence in a non-security context. As we wanted to gain deeper insights into the security implications of these misuses, we created an extensive vulnerability model for cryptographic API misuses. Our model includes previously undiscussed attacks in the context of cryptographic APIs such as DoS attacks. This model reveals that nearly half of the misuses are of high severity, e.g., hard-coded credentials and potential Man-in-the-Middle attacks.
Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Jüngste Studien haben ergeben, dass 87 % bis 96 % der Android-Apps, die kryptografische APIs verwenden, einen Missbrauch aufweisen, der zu Sicherheits Schwachstellen verursachen können. Da in den früheren Studien keine qualitative Validität und Schwere der Befunde nicht qualitativ untersucht haben, war es unser Ziel war es unser Ziel, die Ergebnisse genauer zu verstehen. Wir analysierten einen Satz von 936 Open-Source-Java-Anwendungen auf kryptografische Missbräuche. Unsere Studie zeigt, dass 88,10 % der analysierten Anwendungen kryptografische kryptografische APIs nicht sicher nutzen. Durch unsere manuelle Analyse einer zufälligen Stichprobe haben wir neue Erkenntnisse über effektive Fehlalarme gewonnen. Für zum Beispiel ist jeder vierte Missbrauch der häufig missbrauchten JCA-Klasse MessageDigest ein effektiver Fehlalarm, da er in einem Nicht-Sicherheits-Kontext. Da wir einen tieferen Einblick in die Auswirkungen dieser Missbräuche auf die Sicherheit gewinnen wollten, haben wir ein umfassendes Schwachstellenmodell für den Missbrauch von kryptografischen APIs. Unser Modell umfasst bisher nicht diskutierte Angriffe im Zusammenhang mit kryptografischen APIs wie DoS-Angriffe. Dieses Modell zeigt, dass fast die Hälfte der Missbräuche schwerwiegend sind, z. B. hart kodierte Anmeldeinformationen und potenzielle Man-in-the-Middle-Angriffe.

Deutsch
Freie Schlagworte: Engineering (E1), Secure Software Engineering (SSE), Software Technology Group (STG)
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Softwaretechnik
DFG-Sonderforschungsbereiche (inkl. Transregio)
DFG-Sonderforschungsbereiche (inkl. Transregio) > Sonderforschungsbereiche
20 Fachbereich Informatik > EC SPRIDE
20 Fachbereich Informatik > EC SPRIDE > Secure Software Engineering
DFG-Sonderforschungsbereiche (inkl. Transregio) > Sonderforschungsbereiche > SFB 1119: CROSSING – Kryptographiebasierte Sicherheitslösungen als Grundlage für Vertrauen in heutigen und zukünftigen IT-Systemen
Hinterlegungsdatum: 10 Jul 2023 10:33
Letzte Änderung: 10 Jul 2023 10:33
PPN:
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen
OAI 2.0-Basis-URL: https://tubiblio.ulb.tu-darmstadt.de/cgi/oai2 TUbiblio verwendet EPrints 3.
Drucken | Impressum | Datenschutzerklärung