15.10 // Ослабленная криптография в Android SSL
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.
Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.
Источник: BugTraq.ru
Несколько комментариев (7) [показать комментарии/форму]
Ваша оценка документа [показать результаты]