使用veracode时com.google.android.gms.analytics中的“熵不足（CWE ID 331）”

Posted 2021-05-04

当使用VERACODE得到Insufficient Entropy时，在android应用程序中使用java.util.Random.nextInt。在我的应用源代码中没有使用Random.nextInt，它用于谷歌分析（com.google.android.gms.analytics）

攻击向量：java.util.Random.nextInt

说明：标准随机数生成器在用于安全目的时不提供足够的熵量。攻击者可以强制使用诸如rand（）之类的伪随机数生成器。

答案

听起来您正在使用商业工具来检查潜在的安全漏洞。

GoogleAnalytics是封闭源代码，所以很难确定它是如何使用Random的。因此，很难知道这是否重要，或者是否有解决方法。

但是，您收到的报告非常具体。是的，如果GoogleAnalytics功能需要良好的“随机性”来源，则Random是一个糟糕的选择。但我们不知道是否是这种情况。它可能只是使用随机数生成器来选择它所谈到的谷歌分析服务器......以实现负载平衡。

如果这真的让你担心：

1. 请联系Veracode制造商，以澄清报告的含义。他们或许可以告诉你这是一个误报。
2. 联系Google并询问他们是否存在真正的漏洞。