Эксперт: Android использует небезопасное шифрование в SSL-соединении
По мнению исследователя, пользователи подвергаются опасности из-за устаревшего механизма создания шифров в Java.
Эксперт в области информационной безопасности Джордж Лукас (George Lukas) обвинил Google в использовании устаревших протоколов шифрования во всех SSL-соединениях при создании ОС Android.
По словам исследователя, в конце 2010 года мобильная прошивка была переведена с протокола AES256-SHA на использование по умолчанию устаревших и небезопасных протоколов RC4 и MD5.
Эксперт утверждает, что ошибки при использовании протокола MD5 известны уже на протяжении многих лет. Однако, Лукас уверен, что виновными в данной ситуации являются не разработчики операционной системы, а создатели Java. «То, что сделали инженеры Google, чтобы понизить уровень безопасности пользователей, было простым копированием того, что ранее предприняли разработчики Java».
«В реализации Java, код, ответственный за создание списка шифров, разделяется на два файла. Сначала создается приоритетный список шифров в классе CipherSuite. Затем все разрешенные шифры, имеющие необходимый приоритет, добавляются к списку в функции CipherSuiteList.getDefault(). При этом, список шифров существенно не изменялся со времени импорта Java 6 в Hg, когда впервые появился OpenJDK», - отмечает исследователь.
По его словам, списки шифров, используемые в большинстве Android-устройств, были созданы в 2002 году и использованы разработчиками Google в 2010 году при создании Android 2.3. При этом в RC4 ошибки были обнаружены еще в 2001 году, а MD5 был взломан в 2009 году.Ваш провайдер знает о вас больше, чем ваша девушка?