Воскресенье, 22.04.2018
Компьютерная безопасность и новости
Форма входа
Меню сайта
Категории раздела
Компьютерные новости [936]
АнтиВирусные новости [210]
Новости о UNIX/Linux [313]
Магазин цифровых товаров

Ключи и пин-коды

Игры Кредитные карты IP-телефония Интернет провайдеры Мобильная связь Спутниковое ТВ

Электронные книги

Бизнес и экономика Дом, быт, семья, досуг Санкт-Петербург Компьютеры и интернет Наука и образование Техническая литература Юридическая литература

Цифровые товары

iTunes & App Store Базы данных Дизайн Доступ к ресурсам Kарты продления, ключи Фотографии Шаблоны для сайтов

Программное обеспечение

Безопасность Игры PC Интернет Мобильная связь Программирование Продвижение сайтов (SEO) Утилиты
Архив записей
Наши сообщества
Статистика
Рейтинг@Mail.ru

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Код нашего баннера

Поиск
Главная » 2013 » Октябрь » 15 » Ослабление шифрования в Android SSL после версии 2.3
21:58
Ослабление шифрования в Android SSL после версии 2.3
Как выяснилось, операционная система Android использует крайне уязвимые RC4 и MD5 в качестве первого шифра по умолчанию для всех SSL-соединений. Проблема затрагивает приложения, в которых явно не прописано использование других шифров, то есть де-факто почти все приложения Android.


Что самое интересное, комбинацию RC4-MD5 стали использовать по умолчанию с декабря 2010 года, когда состоялся релиз Android 2.3. До этого момента в SSL использовалась более сильная криптография. Первым шифром по умолчанию была комбинация DHE-RSA-AES256-SHA.

Расследование показало, что ослабление шифра по умолчанию произошло перед выходом Android 2.3. До этого момента Android просто использовал стандартный список OpenSSL, однако сделанное сотрудниками Google в мае 2010 года изменение в коде добавило в Android собственный список шифров, который соответствует стандартам CipherSuite из JDK 6, принятым в 2002 году.

public static String[] getDefaultCipherSuites() {
- int ssl_ctx = SSL_CTX_new();
- String[] supportedCiphers = SSL_CTX_get_ciphers(ssl_ctx);
- SSL_CTX_free(ssl_ctx);
- return supportedCiphers;
+ return new String[] {
+ "SSL_RSA_WITH_RC4_128_MD5",
+ "SSL_RSA_WITH_RC4_128_SHA",
+ "TLS_RSA_WITH_AES_128_CBC_SHA",
...
+ "SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA",
+ "SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA"
+ };
}
Список шифров в Java обновился c выходом JDK 7, но в Android он остался старым из JDK 6.
Категория: Компьютерные новости | Просмотров: 610 | Теги: Компьютерные новости, Android | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright inet-safety © 2018    |    Хостинг от uCoz
Пользовательское Соглашение | Политика Конфиденциальности