Ослабление криптографических алгоритмов в Андроиде
Один немецкий товарищ утверждает, что в Андроиде, начиная с версии 2.3 (2010 год), по умолчанию для SSL используются слабые алгоритмы (RC4 для шифрования и MD5 для подписей) вместо более сильных, использовавшихся до того.
Предполагается, что ранее список разрешённых алгоритмов указывался явно, а начиная с версии 2.3 используются установки Java по умолчанию, а они в используемой в Андроиде версии слабые.
Это касается лишь настроек по умолчанию. Программы, которые самостоятельно выбирают алгоритмы для SSL, этой проблеме не подвержены. Среди них, например, встроенный браузер, Google Chrome, Firefox.
Остаётся загадкой, было ли это случайной ошибкой разработчиков или преднамеренным ослаблением защиты.
http://op-co.de/blog/posts/android_ssl_downgrade/
Предполагается, что ранее список разрешённых алгоритмов указывался явно, а начиная с версии 2.3 используются установки Java по умолчанию, а они в используемой в Андроиде версии слабые.
Это касается лишь настроек по умолчанию. Программы, которые самостоятельно выбирают алгоритмы для SSL, этой проблеме не подвержены. Среди них, например, встроенный браузер, Google Chrome, Firefox.
Остаётся загадкой, было ли это случайной ошибкой разработчиков или преднамеренным ослаблением защиты.
http://op-co.de/blog/posts/android_ssl_downgrade/