Вибір редакції

Криптографические уязвимости в Skype для бизнеса

25 сентября, 2017. 10:09
Недавно специалисты компании GDS обнаружили и раскрыли бреши в приложении Skype для бизнеса, связанные с неправильной обработкой криптографической информации. Некорректное использование строковых объектов стало причиной пониженной энтропии в паролях (ключах шифрования), используемых для шифрования конфиденциальной информации в базе данных.

Эта уязвимость была обнаружена после декомпиляции необфусцированных Java-исходников, хранящихся внутри контейнера приложения. Данная брешь схожа с проблемой, которая описывалась в статье http://blog.gdssecurity.com/labs/2015/2/18/when-efbfbd-and-friends-come-knocking-observations-of-byte-a.html два года назад авторства Стивена Комала (Stephen Komal) из компании GDS.

База данных, хранящаяся в контейнере приложения под именем databases/EncryptedDataStore.sqlite на платформе Android, использовала ключ слабее оптимального, который обычно применяется для хранения конфиденциальной информации. Несмотря на то, что на практике в большинстве случаев длина ключа достаточная для защиты от компрометирования, сам ключ является искаженным с пониженной энтропией. Опасность этой уязвимости заключается в том, что злоумышленник может найти систему с ключом, который взломать намного проще, чем изначально предполагали авторы приложения. В самом худшем случае, злоумышленник может взломать ключ базы данных, а затем расшифровать и извлечь конфиденциальную информацию.

ЧИТАТЬ МАТЕРИАЛ
Комментарии: