一名黑客生成加密程序的作者竟然没有实现其核心的功能：加密！

这位ID为NinjaDoge24(以下简称Ninja)的黑客分析了NQ Vault(一款用来加密手机上数据的App)Ninja通过测试，发现这款加密软件只是使用了单字节异或加密了PNG文件的头128字节。

而且，最可怕的是，异或所使用的秘钥还是由用户输入的。

NQ Vault在Google商店的下载量已经超过1千万次，而且在iOS平台上也可以使用。

而软件的作者生成这款软件的安全是“可靠的”。它通过128bit AES加密用户的短信、聊天记录、通话记录和联系人信息。但是，却不包括图片和视频。

关于，图片和视频。作者在产品描述中这样写道“图片和视频不会被其他软件轻易读取到，除非用户在当前设备上输入了正确的密码”

异或加载在通常的加密算法中是非常常见的。但是，如果仅仅使用一个固定字节进行异或，会导致算法变得非常脆弱。

Ninja通过比对NQ Vault加密过得图片，很快写出了解密程序。

“乍看上去，像是替换加密。但是这仅仅是异或！并且128字节以后的数据都没有改动，这真是最好的加密手法。。。”Ninja说道

独立的安全研究员Wade Alcorn说道“NQ Vault没有处理文件128字节以后的数据，这真的算不上保护用户数据”

“加密软件很难做，非常难！这真的印证了这个黄金定律：不要自己设计加密算法！”

Sophos的技术头头Paul Ducklin建议加密App应该说明他们所使用的加密算法“凡是宣称对你的数据进行过加密处理的软件，都应该公开他们所使用的加密算法”

“如果你找不到这款加密App关于所用加密算法的说明，那么换一个App吧。凡是对自身所用加密‘算法’保密的App，都是不安全的，大家可以放弃了”

我们已经联系Google修改该软件的说明了。

(责任编辑：安博涛)