Es sieht mal wieder schlecht für die Sicherheit aus. Jemand hat den Keyfinder, ein Tool zum Aufspüren von Keys, auch in Android-APKs, freigegeben. Binnen kurzem wurden Keys in hunderten von Apps aufgespürt.

Ich bin über einen Tweet auf das Tool, welches Keys in einem Dateisystem und in APKs von Android-Apps aufspüren und analysieren kann, aufmerksam geworden.

I’ve released CERT Keyfinder, which will allow anybody to automatically find and analyze private keys in directory structures or Android APK files.https://t.co/VFikI7GM7y pic.twitter.com/NdFPeF3x9D
— Will Dormann (@wdormann) 16. Juli 2018
Will Dormann hat das Tool entwickelt und auf GitHub freigegeben. Das Ganze benötigt Python-Komponenten und ist hier beschrieben.

Der CERT Keyfinder kann verwendet werden, um die Dateien auf Ihrem System zu scannen und standardmäßig nur private und/oder passwortgeschützte Schlüsseldateien zu melden. Sind private Schlüssel bekannt, lässt sich die verschlüsselte Kommunikation mitlesen. Dürfte dazu führen, dass eine Menge Android-Apps bald als ‘komprimittiert’ – was die sichere Kommunikation betrifft – gelten dürften.


In der "ich" - Form schreibt BornCity