Популярное Android-приложение NQ Vault раскритиковано за бесполезный метод шифрования

image

Теги: шифрование, приложение, безопасность

Программа шифрует только первые 128 байтов файла, все остальное остается нетронутым.

Как оказалось, популярное криптографическое Android-приложение NQ Vault (существует версия и для iOS) использует довольно бесполезный метод шифрования. Программа позволяет зашифровать выбранные SMS, фотографии и видео на устройстве. Просмотреть зашифрованный контент можно через приложение, введя пароль.

Программист и блоггер NinjaDoge24 решил  проверить , насколько хорошо NQ Vault защищает личные данные. Для этого он создал PNG файл размером 1х1 пиксель, добавил в конец файла сигнатуру NINJADOGE24, загрузил файл на устройство и зашифровал его с помощью приложения NQ Vault с простым паролем. После сравнения исходного документа с зашифрованным, оказалось, что сигнатура осталась нетронутой. При этом шифрование остальных сегментов очень напоминало простую замену.

Применив операцию XOR между исходным и шифротекстом, исследователь получил ключ. После проведения нехитрых операций с использованием простенького скрипта для шифрования/дешифровки и файла JPEG специалист обнаружил, что приложение шифрует только первые 128 байт файла, а все остальное остается нетронутым.

Журналисты издания The Register обратились за разъяснениями по поводу ситуации к разработчикам NQ Vault. Компания-производитель заявила, что средства защиты, реализованные в приложении, являются «адекватными», а все файлы шифруются при помощи алгоритма AES-128. Создатели NQ Vault подчеркнули, что фото- и видеофайлы хранятся в формате, недоступном для чтения другими приложениями, и могут быть просмотрены только в NQ Vault после ввода правильного пароля.

По словам технического директора ИБ-компании Sophos Пола Даклина (Paul Ducklin), в приложениях сразу должно указываться, какой метод шифрования они используют. А если эту информацию не так просто найти, тогда следует выбрать другое приложение. Если криптографический продукт полагается на механизм шифрования, который держится в секрете, необходимо допустить, что программа не защищена должным образом, и обратить внимание на другие варианты.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.