Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    В Android-приложениях обнаружены встроенные незащищенные ключи шифрования

В Android-приложениях обнаружены встроенные незащищенные ключи шифрования


16.04.2018

В Android-приложениях обнаружены встроенные незащищенные ключи шифрования

Аналитик по уязвимостям программного обеспечения в Координационном центре CERT (CERT/CC) Уилл Дорманн (Will Dormann) сообщил на конференции BSides в Сан-Франциско об обнаружении во множестве Android-приложений встроенных криптографических ключей.

 По словам эксперта, он просканировал порядка 1,8 млн бесплатных приложений для ОС Android и обнаружил большое количество проблем безопасности. Ключи PGP, коды VPN и вшитые пароли администратора были доступны во множестве программ.

 "Я просканировал только бесплатные приложения. Уверен, у платных приложений есть аналогичные проблемы", - отметил специалист.

 В общей сложности Дорманн обнаружил почти 20 тыс. программ с незащищенными ключами, в том числе в популярном приложении Samsung для "умного" дома.

 Дорманн также обратил внимание на инструмент для разработчиков Appinventor, который по умолчанию встраивает закрытые ключи в приложения. В настоящее время разработчики инструмента уже исправили данную проблему.

 В хранилищах программных ключей также было обнаружено множество проблем. Хранилища ключей Java и Bouncy Castle не шифруются на уровне контейнера и полагаются на защиту паролем, которой, по словам специалиста, недостаточно.

 В рамках эксперимента эксперт использовал для взлома уязвимых приложений два популярных взломщика паролей - Jack the Ripper и Hashcat.

 "Hashcat показал себя намного лучше. Он не только распознает человеческую привычку делать заглавной именно первую букву, но также может проверять восклицательные знаки в конце пароля, а также четыре цифры, потому что многие люди добавляют даты", - отметил специалист.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.