Продемонстрирован метод взлома криптозащиты Android

Эксперты сообщают о взломе базовой реализации KeyStore, подсистемы Android, использующей библиотеку OpenSSL и служащую для хранения идентификационных данных пользователя и генерирования приложениями собственных ключей шифрования.

В опубликованной на этой неделе академической статье Мохамед Сабт (Mohamed Sabt) и Жак Траорэ (Jacques Traore) из французской телекоммуникационной компании Orange Labs показали, что применяемая в KeyStore схема шифрования не обеспечивает защиты целостности ключей и предоставляет хакерам возможности для подделки хранящихся данных.

Например, установленное пользователем вредоносное приложение может скрытно трансформировать 256-разрядные ключи HMAC в 32-разрядные, после чего хакеры смогут легко взломать любой сетевой протокол с ослабленной таким образом защитой.

Авторы планируют сделать доклад по результатам своей работы в Греции, на сентябрьской конференции ESORICS (European Symposium on Research in Computer Security). Сведения о найденной уязвимости вместе с рекомендациями по её исправлению они передали разработчикам Android ещё в январе, но до сих пор не получили сведений о том, когда выйдет соответствующий патч KeyStore.