Я запустил тест безопасности с помощью инструмента ImmuniWeb в моем приложении Android APK. Одним из наблюдений, сделанных инструментом, было то, что один из компонентов приложения использует предсказуемый генератор случайных чисел. Далее говорится:
При определенных условиях этот недостаток может поставить под угрозу шифрование данных мобильного приложения или другую защиту на основе рандомизации. Например, если токены шифрования генерируются внутри приложения, и злоумышленник может предоставить приложению предсказуемый токен для проверки, а затем выполнить конфиденциальное действие в приложении или его бэкэнде.
Пример небезопасного кода: Случайный random = new Random ()
Пример безопасного кода: SecureRandom random = new SecureRandom ()
В файле 'kotlinx / coroutines / scheduling / CoroutineScheduler найдено' new Random () '. java '
В файле найдено' new Random () 'kotlin / random / FallbackThreadLocalRandom $ implStorage $ 1. java'
Приложение интенсивно использует Kotlin сопрограммы, поэтому я не в состоянии удалить библиотеку. Я сомневаюсь, как мне избежать этой уязвимости? Могу ли я что-нибудь с этим сделать? Наконец, если это действительно допустимый опасный код, можем ли мы сообщить и ожидать от Kotlin до sh обновления для его исправления?