Durante mi autoaprendizaje sobre cómo tratar de encontrar vulnerabilidades en aplicaciones móviles, encontré una lista de conjuntos de cifrado que se consideraban inseguros:
md5 sha1 sha-1 md4 rc4 des tripledes 3des
Si obtuve estos términos en algunos códigos Java descompilados y obtuve resultados, ¿sería seguro decir que hay un problema?
Un grep simple no proporcionaría el contexto suficiente para determinar si hay un problema. Incluso si encuentra usos reales para estos algoritmos menos seguros (al contrario de simplemente encontrar un código que usa estos nombres para otras cosas), aún no está claro si existe un problema real. Por ejemplo, MD5 y SHA-1 no son un problema cuando se utilizan como HMAC. Por lo tanto, realmente necesitas ver para qué se usan estos algoritmos.