Эксперт: Android использует небезопасное шифрование в SSL-соединении

image

Теги: Android, шифрование

По мнению исследователя, пользователи подвергаются опасности из-за устаревшего механизма создания шифров в Java.

Эксперт в области информационной безопасности Джордж Лукас (George Lukas) обвинил Google в использовании устаревших протоколов шифрования во всех SSL-соединениях при создании ОС Android.

По словам исследователя, в конце 2010 года мобильная прошивка была переведена с протокола AES256-SHA на использование по умолчанию устаревших и небезопасных протоколов RC4 и MD5.

Эксперт утверждает, что ошибки при использовании протокола MD5 известны уже на протяжении многих лет. Однако, Лукас уверен, что виновными в данной ситуации являются не разработчики операционной системы, а создатели Java. «То, что сделали инженеры Google, чтобы понизить уровень безопасности пользователей, было простым копированием того, что ранее предприняли разработчики Java».

«В реализации Java, код, ответственный за создание списка шифров, разделяется на два файла. Сначала создается приоритетный список шифров в классе CipherSuite. Затем все разрешенные шифры, имеющие необходимый приоритет, добавляются к списку в функции CipherSuiteList.getDefault(). При этом, список шифров существенно не изменялся со времени импорта Java 6 в Hg, когда впервые появился OpenJDK», - отмечает исследователь.

По его словам, списки шифров, используемые в большинстве Android-устройств, были созданы в 2002 году и использованы разработчиками Google в 2010 году при создании Android 2.3. При этом в RC4 ошибки были обнаружены еще в 2001 году, а MD5 был взломан в 2009 году.

или введите имя

CAPTCHA
Дырявая Java
16-10-2013 23:21:35
подвергаются опасности из-за устаревшего механизма создания шифров в JavaJava =дыра(пора бы привыкнуть),обновления и патчи выпускают и ......
0 |
Гостюн
18-10-2013 14:01:30
Не понятно, о чем это он. SSL разрешенный или предпочтительный, организует сервер, к которому идет подключение. Это уже область ответственности админа сервера. Если речь идет о линук-машине для Андроид, возможно, но не все ее будут запускать. Если речь идет о точке доступа - то там уже wpa2 psk tkip-aes, вроде. Или нет?
0 |