15.10 // Ослабленная криптография в Android SSL
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.
Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.
Источник: BugTraq.ru
комментариев: 1079 документов: 58 редакций: 59
Используя Android – рассчитывать на безопасность и уж тем более анонимность не стоит в принципе. Да, я уверен, что в ближайшее время пойдут форки, ориентированные на безопасность и тд, а может и сейчас есть – но я все-равно не доверяю пока. Не смотря на то, что дефолтный андроид я не юзал в принципе, с самого начала на Cyanogen'е сижу, но передавая данные, либо ведя переписку – изначально подразумеваю об полном отсутствии безопасности.
Готов выслушать мнения других обладателей девайсов Android, но думаю, что все будут примерно одинакового мнения.
комментариев: 1060 документов: 16 редакций: 32
Там скриншотик из Wireshark есть со списком CipherSuites – мне кажется, что они просто отсортированы по числовому значению идентификатора.
Мнение тех, кто не пользуется смартфонами, пожалуй, тривиально. :-)
Хм, а я думал, что используемые алгоритмы зависят от сайта? а не от девайса/браузера, которым сайт откывают. Скажем, pgpru.com использует Camellia-256, почта Яндекса – AES-128, а Гугл Плее RC4-128. Надо же.
комментариев: 11558 документов: 1036 редакций: 4118
Они зависят от обеих сторон. Если клиент сообщает, что поддерживает только SSL-сьюты с RC4 и MD5 (или они имеют наивысший приоритет), то их сервер и будет использовать.