Эксперт в области информационной безопасности Джордж Лукас обвинил Google в использовании устаревших протоколов шифрования во всех SSL-соединениях при создании ОС Android. По словам исследователя, в конце 2010 года мобильная прошивка была переведена с протокола AES256-SHA на использование по умолчанию устаревших и небезопасных протоколов RC4 и MD5.
Эксперт утверждает, что ошибки при использовании протокола MD5 известны уже на протяжении многих лет. Однако, Лукас уверен, что виновными в данной ситуации являются не разработчики операционной системы, а создатели Java:
То, что сделали инженеры Google, чтобы понизить уровень безопасности пользователей, было простым копированием того, что ранее предприняли разработчики Java. В реализации Java, код, ответственный за создание списка шифров, разделяется на два файла. Сначала создается приоритетный список шифров в классе CipherSuite. Затем все разрешенные шифры, имеющие необходимый приоритет, добавляются к списку в функции CipherSuiteList.getDefault(). При этом, список шифров существенно не изменялся со времени импорта Java 6 в Hg, когда впервые появился OpenJDK.
По его словам, списки шифров, используемые в большинстве Android-устройств, были созданы в 2002 году и использованы разработчиками Google в 2010 году при создании Android 2.3. При этом в RC4 ошибки были обнаружены еще в 2001 году, а MD5 был взломан в 2009 году.
Источник: SecurityLab.Ru
Горячие темы