Криптографические уязвимости в Skype для бизнеса
Эта уязвимость была обнаружена после декомпиляции необфусцированных Java-исходников, хранящихся внутри контейнера приложения. Данная брешь схожа с проблемой, которая описывалась в статье http://blog.gdssecurity.com/labs/2015/2/18/when-efbfbd-and-friends-come-knocking-observations-of-byte-a.html два года назад авторства Стивена Комала (Stephen Komal) из компании GDS.
База данных, хранящаяся в контейнере приложения под именем databases/EncryptedDataStore.sqlite на платформе Android, использовала ключ слабее оптимального, который обычно применяется для хранения конфиденциальной информации. Несмотря на то, что на практике в большинстве случаев длина ключа достаточная для защиты от компрометирования, сам ключ является искаженным с пониженной энтропией. Опасность этой уязвимости заключается в том, что злоумышленник может найти систему с ключом, который взломать намного проще, чем изначально предполагали авторы приложения. В самом худшем случае, злоумышленник может взломать ключ базы данных, а затем расшифровать и извлечь конфиденциальную информацию.