Java испортила безопасность в Android

Джордж Лукас, не тот который режиссёр, другой Лукас, написал сообщение, в котором утверждает, что Google использует, как он выразился, «ужасно испорченное» шифрование RC4 и MD5 во всех своих SSL соединениях на устройствах Android.

Он сообщил, что оба шифрования предельно небезопасны, поскольку они оба испорчены и легко могут быть взломаны. Однако он отдал должное ОС, заявив, что до версии Android 2.2.1 в системе использовалось предельно надёжное шифрование DHE-RSA-AES256-SHA. Проблемы начались с переходом на версию 2.3.4, где шифрование RC4 и MD5 стали таковыми по умолчанию, и сейчас они по-прежнему используются в ОС.

Java Android

Однако причиной такой неосмотрительности стало не желание помочь АНБ в их нелёгком деле прослушки. Лукас установил, что всё это случилось по вине Oracle. Инженеры Google просто внедрили то, что предписывает Java Reference Implementation (RI 6).

Исследователь сообщил, что шифр, применяемый на большинстве устройств Android, был определён компанией Sun в 2002 году и попал в проект Android в 2010 г. для улучшения совместимости. Ну, или же это просто сговор с АНБ.