Популярное Android-приложение NQ Vault раскритиковано за бесполезный метод шифрования
Программа шифрует только первые 128 байтов файла, все остальное остается нетронутым.
Как оказалось, популярное криптографическое Android-приложение NQ Vault (существует версия и для iOS) использует довольно бесполезный метод шифрования. Программа позволяет зашифровать выбранные SMS, фотографии и видео на устройстве. Просмотреть зашифрованный контент можно через приложение, введя пароль.
Программист и блоггер NinjaDoge24 решил проверить , насколько хорошо NQ Vault защищает личные данные. Для этого он создал PNG файл размером 1х1 пиксель, добавил в конец файла сигнатуру NINJADOGE24, загрузил файл на устройство и зашифровал его с помощью приложения NQ Vault с простым паролем. После сравнения исходного документа с зашифрованным, оказалось, что сигнатура осталась нетронутой. При этом шифрование остальных сегментов очень напоминало простую замену.
Применив операцию XOR между исходным и шифротекстом, исследователь получил ключ. После проведения нехитрых операций с использованием простенького скрипта для шифрования/дешифровки и файла JPEG специалист обнаружил, что приложение шифрует только первые 128 байт файла, а все остальное остается нетронутым.
Журналисты издания The Register обратились за разъяснениями по поводу ситуации к разработчикам NQ Vault. Компания-производитель заявила, что средства защиты, реализованные в приложении, являются «адекватными», а все файлы шифруются при помощи алгоритма AES-128. Создатели NQ Vault подчеркнули, что фото- и видеофайлы хранятся в формате, недоступном для чтения другими приложениями, и могут быть просмотрены только в NQ Vault после ввода правильного пароля.
По словам технического директора ИБ-компании Sophos Пола Даклина (Paul Ducklin), в приложениях сразу должно указываться, какой метод шифрования они используют. А если эту информацию не так просто найти, тогда следует выбрать другое приложение. Если криптографический продукт полагается на механизм шифрования, который держится в секрете, необходимо допустить, что программа не защищена должным образом, и обратить внимание на другие варианты.
Устали от того, что Интернет знает о вас все?