Ослабление шифрования в Android SSL после версии 2.3
отметили
7
человек
в архиве
Как выяснилось, операционная система Android использует крайне уязвимые RC4 и MD5 в качестве первого шифра по умолчанию для всех SSL-соединений. Проблема затрагивает приложения, в которых явно не прописано использование других шифров, то есть де-факто почти все приложения Android.
Что самое интересное, комбинацию RC4-MD5 стали использовать по умолчанию с декабря 2010 года, когда состоялся релиз Android 2.3. До этого момента в SSL использовалась более сильная криптография. Первым шифром по умолчанию была комбинация DHE-RSA-AES256-SHA.
Расследование показало, что ослабление шифра по умолчанию произошло перед выходом Android 2.3. До этого момента Android просто использовал стандартный список OpenSSL, однако сделанное сотрудниками Google в мае 2010 года изменение в коде добавило в Android собственный список шифров, который соответствует стандартам CipherSuite из JDK 6, принятым в 2002 году.
Список шифров в Java обновился c выходом JDK 7, но в Android он остался старым из JDK 6.
Что самое интересное, комбинацию RC4-MD5 стали использовать по умолчанию с декабря 2010 года, когда состоялся релиз Android 2.3. До этого момента в SSL использовалась более сильная криптография. Первым шифром по умолчанию была комбинация DHE-RSA-AES256-SHA.
Расследование показало, что ослабление шифра по умолчанию произошло перед выходом Android 2.3. До этого момента Android просто использовал стандартный список OpenSSL, однако сделанное сотрудниками Google в мае 2010 года изменение в коде добавило в Android собственный список шифров, который соответствует стандартам CipherSuite из JDK 6, принятым в 2002 году.
Список шифров в Java обновился c выходом JDK 7, но в Android он остался старым из JDK 6.
Источник:
xakep.ru/post/61419/
Добавил X86 17 Октября 2013
нет комментариев
проблема (2)
Комментарии участников:
Ни одного комментария пока не добавлено