这一章我们来学习“AES/DES加密方法不安全使用漏洞”,了解这个漏洞发生的原因及其应对的方法,这章内容较短,感兴趣的同学可以去找找CPA攻击。
一、漏洞原理
AES/DES是android程序中常用的两种对称加密算法,其工作模式有ECB、CBC、CFB和OFB。当其使用ECB或OFB工作模式时,加密数据可能被选择明文攻击CPA破解。加密方法失效后可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,中间人攻击等后果,造成用户敏感信息被窃取。
二、检测手段
检测方法:
step1:在代码内全局搜索AES/DES使用的地方,判断工作模式是否为ECB或OFB,若是则存在风险
step2:汇总结果
三、修复方法
1、使用AES/DES加密算法时,应显示的指定工作模式为CBC或CFB模式。
asjhan for Android reverse