使用 VERACODE 获取 Insufficient Entropy 以在Android应用程序中使用java.util.Random.nextInt。 在我的应用源代码 Random.nextInt 未使用,它用于谷歌分析(com.google.android.gms.analytics)
攻击向量: java.util.Random.nextInt
说明:标准随机数生成器在用于安全目的时不提供足够数量的熵。攻击者可以强制使用伪随机数生成器,例如rand()。
答案 0 :(得分:0)
听起来您正在使用商业工具来检查潜在的安全漏洞。
GoogleAnalytics是封闭源代码,因此很难确定它是如何使用Random的。因此,很难知道这是否重要,或者是否有解决方法。
但是,您收到的报告非常具体。是的,如果GoogleAnalytics功能需要良好的随机性来源,则Random是一个糟糕的选择。但我们不知道是不是这样。它可能只是使用随机数生成器来选择与之对话的谷歌分析服务器......以实现负载平衡。
如果这真的让你担心:
请与Veracode制造商联系,以澄清报告的含义。他们或许可以告诉你这是一个误报。
与Google联系并询问他们是否存在真正的漏洞。