gpt4 book ai didi

android - 安全测试显示我的 Android 应用程序有一个可预测的随机数生成器,这是有风险的。它属于核心 Kotlin 库。怎么修?

转载 作者:行者123 更新时间:2023-12-02 12:57:22 26 4
gpt4 key购买 nike

我通过 ImmuniWeb 工具在我的 Android 应用程序 APK 上运行了安全测试。该工具所做的一项观察是,其中一个应用程序组件使用了可预测的随机数生成器。它进一步说:

Under certain conditions, this weakness may jeopardize mobile application data encryption or other protection based on randomization. For example, if encryption tokens are generated inside of the application and an attacker can provide the application with a predictable token to validate and then execute a sensitive activity within the application or its backend.

Example of insecure code: Random random = new Random()

Example of secure code: SecureRandom random = new SecureRandom()

There is 'new Random()' found in file 'kotlinx/coroutines/scheduling/CoroutineScheduler.java'

There is 'new Random()' found in file 'kotlin/random/FallbackThreadLocalRandom$implStorage$1.java'

该应用大量使用 Kotlin 协程,因此我无法删除该库。我的疑问是如何避免此漏洞?我可以做点什么吗?最后,如果这确实是一个有效的风险代码,我们可以报告并期望 Kotlin 推送更新来修复它吗?

最佳答案

我同意@Morrison Chang 的观点。我认为协程调度代码也不需要加密安全。

该逻辑并未执行诸如为分组密码等创建初始化向量之类的操作,因此它应该没问题...

关于android - 安全测试显示我的 Android 应用程序有一个可预测的随机数生成器,这是有风险的。它属于核心 Kotlin 库。怎么修?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59622924/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com