Мир: Android использует небезопасное шифрование в SSL-соединении

0

Эксперт в области информационной безопасности Джордж Лукас (George Lukas)  обвинил  Google в использовании устаревших протоколов шифрования во всех SSL-соединениях при создании ОС Android. По словам исследователя, в конце 2010 г. мобильная прошивка была переведена с протокола AES256-SHA на использование по умолчанию устаревших и небезопасных протоколов RC4 и MD5.


Эксперт утверждает, что ошибки при использовании протокола MD5 известны уже на протяжении многих лет. Однако, Лукас уверен, что виновными в данной ситуации являются не разработчики операционной системы, а создатели Java. “То, что сделали инженеры Google, чтобы понизить уровень безопасности пользователей, было простым копированием того, что ранее предприняли разработчики Java”.

“В реализации Java, код, ответственный за создание списка шифров, разделяется на два файла. Сначала создается приоритетный список шифров в классе CipherSuite. Затем все разрешенные шифры, имеющие необходимый приоритет, добавляются к списку в функции CipherSuiteList.getDefault(). При этом, список шифров существенно не изменялся со времени импорта Java 6 в Hg, когда впервые появился OpenJDK”, – отмечает исследователь. По его словам, списки шифров, используемые в большинстве Android-устройств, были созданы в 2002 г. и использованы разработчиками Google в 2010 г. при создании Android 2.3. При этом в RC4 ошибки были обнаружены еще в 2001 г., а MD5 был взломан в 2009 г. (Новости/NovostIT)