A lehallgatási botrány árnyékában kisebb pánikot okozott, mikor kiderült, hogy az Android fejlesztőknek szánt API-ja a 2.3-as verziótól kezdve a hírhetden gyenge RC4-MD5 algoritmus-kombinációt részesíti előnyben SSL kapcsolatok kiépítésekor. Ez azt jelenti, hogy az API-t naívan használó fejlesztő alkalmazásai már halandó emberek számára is hozzáférhető támadásoknak teszik ki felhasználóikat, amennyiben a támadó aktívan hallgatózhat a hálózaton, ami mobil készülékek esetén egyáltalán nem irreális. 

Az op-co.de bloggerei utánajártak a dolognak, és némi commit log túrás után kiderítették, hogy a Google lelkes kóderei a referenciának tekintett Java 6 SDK által meghatározott algoritmus preferenciákat igyekeztek átültetni az Android platformra, ez pedig tényleg a fenti cipher suite-t preferálja.

Az mindenkinek a saját belátására bízom, hogy mindez egy ügyes NSA akció, vagy egy megszokott programozói baklövés volt-e. 

És mielőtt az Apple fanatikusok lelkes naugyéban törnének ki, megosztanám azt is, hogy a HackInTheBox héten Malajziában rendezett kiadásán pod2g és gg megmutatta, hogy hogyan hallgathatja le egy kellően erős titkosszolgálat az állítólag Snowden által is előszeretettel használt iMessage üzeneteket. A prezentációból kiderül, hogy bár a szoftver valóban naprakész algoritmusokkal megvalósított end-to-end kriptográfiát használ, a certificate pinning hiánya miatt egy hamisított tanúsítvány birtokában, vagy pl. Mobile Configuration-ön keresztül a célpont telefonjára telepített plusz CA gyökérrel a forgalom lehallgatható lehet, a gyártó állításaival ellentétben akár az Apple (vagy az őt presszionáló ügynökség) által is. Az előadók egyúttal kiadtak egy Cyda alkalmazást is, ami figyelmeztet a MitM támadásokra és nagyobb kontrollt enged a készülék tanúsítvány tárolójához. 

A HITB-n egyébként rengeteg érdekes témát prezentáltak, a témánkba vág például még az iCloud és más mobil-felhő protokollok visszafejtését bemutató diasor, de a konferencia oldaláról bárki kedvére csemegézhet.