Andy Melnikov (nponeccop) wrote,
Andy Melnikov
nponeccop

Categories:

PKI курильщика

Обнаружил тут, что в Ведроиде PKI для нужд VPN сделана из говна.

Скажем, есть the Android Keystore provider feature, introduced in Android 4.3

Оно предоставляет плюс минус те же фичи, что виндовые Cryptographic Service Providers/Certificate Stores. А именно, возможность генерировать и использовать приватные ключи так, что приложение не видит ключа.

Ну то есть ключ живёт где-то там под рутом, и даже если нет HSM и ключ можно извлечь, имея физический доступ, при отсутствии уязвимостей эскалации привилегий наш ключ в домике. Он вообще не покидает никогда места генерации. Это опять же из разряда "нет поверхности атаки - нельзя атаковать".

Так вот, в том месте, где у здорового человека генерируется ключ внутри кейстора и публичный ключ отдаётся на подпись центру сертификации, у андроид-курильщика... импорт ключевой пары из ёбаного файла. Который блядь может любое приложение с правами доступа к диску прочитать и отправить товарищу майору.

Тут ещё нашлось, что SCEP это вовсе не MS, а, как и JWT, очень даже Cisco и IETF Draft. Но SCEP в Андроид тоже не завезли.
Tags: programming, все пидарасы а я
Subscribe

Posts from This Journal “все пидарасы а я” Tag

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments