terça-feira, 15 de outubro de 2013

Segurança Android conta com ZOMBIE cripto, argumenta infosec encryptiondev fraco


Incremente sua infra-estrutura


Um pesquisador alemão está pedindo por isso que o Google está usando o "horrivelmente quebrado" RC4 eo MD5 cifra como seu primeiro-padrão para SSL.


A mudança, segundo ele, em este blog , passou despercebido desde dezembro de 2010, quando do lançamento do Android 2.3 trocados de uma preferência padrão para o AES256-SHA1 cifra (seguido de 3DES e AES128), em vez inadimplente a RC4-MD5 e RC4- SHA1 como primeira e segunda preferência.







Para aqueles não familiarizados com as implementações de criptografia: há uma série de tipos de cifra disponível para aplicativos de criptografia. Para garantir que ambos os lados possam negociar uma conexão criptografada, cada final precisa saber que as cifras do outro lado pode suportar - o que significa percorrendo uma lista de cifras durante o aperto de mão *.


Conforme o pesquisador, George Lukas, notas, exploits baseados em colisões MD5 ter sido conhecida há anos.


O culpado, ele afirma, não é a equipe de desenvolvimento do Android, mas os desenvolvedores Java - e em uma demonstração de quanto tempo uma decisão zumbi pode manter cambaleante por aí chamando, é uma recomendação implementação feita pela primeira vez em 2002 "braaains".


Como Lukas observa: "Então, o que os engenheiros do Google finas fez para reduzir a nossa segurança era apenas copiar o que era [na Implementação de Referência], definida pelos inventores de Java!


"Na implementação de referência do Java, o código responsável pela criação da lista cifra é dividido em dois arquivos. Primeiro, uma prioridade-conjunto ordenado de cifras é construído na classe CipherSuite ", escreve ele. "Então, todas as cifras habilitados com a devida prioridade são adicionados à lista de CipherSuiteList.getDefault (). A lista cifra não sofreu alterações relevantes desde a importação inicial de Java 6 em Hg, quando o OpenJDK foi trazido à vida. "


Finalmente: "A ordem cifra para a grande maioria dos dispositivos Android foi definida pela Sun em 2002 e transportada para o projeto Android em 2010 como uma tentativa de melhorar a compatibilidade. RC4 é considerado problemático desde 2001 (lembre-se WEP?), MD5 foi quebrado em 2009 ". ®


* Bootnote: Por uma questão de simplicidade, o autor não desviar um pouco para apresentar um iniciador criptografia completa. ®







via Alimentar (Feed)
Postado por às
Marcadores: , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)