«Недостаточно энтропии (КВО ID 331)» в com.google.android.gms.analytics при использовании Veracode

Question

При использовании Veracode получил Недостаточных энтропийный для использования в java.util.Random.nextInt Android приложении. В моем исходном коде приложения Random.nextInt не используется, он используется в Google Analytics (com.google.android.gms.analytics)

Вектор атаки: java.util.Random.nextInt

Описание: Стандартные генераторы случайных чисел не обеспечивают достаточного количества энтропии при использовании в целях безопасности. Атакующие могут переборщить количество генераторов псевдослучайных чисел, таких как rand().

Answer 1

Похоже, вы используете коммерческий инструмент для проверки потенциальных уязвимостей безопасности.

GoogleAnalytics является закрытым источником, поэтому трудно быть уверенным, как он использует Random. Следовательно, трудно понять, является ли это значительным, или существует ли обходной путь.

Однако отчет, который вы получаете, очень неспецифичен. Да, Random - это плохой выбор, если функциональность GoogleAnalytics требует хорошего источника «случайности». Но мы не знаем, так ли это. Он может просто использовать генератор случайных чисел для выбора сервера Google Analytics, с которым он ведет переговоры ... для балансировки нагрузки.

Если это реальное беспокойство вам:

1. Связаться с Veracode производителем для разъяснения того, что означает отчет. Они могут сказать вам, что это ложная тревога.

2. Свяжитесь с Google и спросите их, существует ли реальная уязвимость.