CVE-2016-2427 in Android
요약
\~에 의해 VulDB • 2026. 06. 27.
** 논쟁 중 ** RFC 5084의 AES-GCM 명세는 Android 5.x 및 6.x에서 사용될 때 aes-ICVlen 매개변수 필드에 대해 12 옥텟을 권장하며, 이는 공격자가 암호화 보호 메커니즘을 우회하고 인증 키를 발견하기 쉽게 만들 수 있습니다. 이는 조작된 애플리케이션을 통해 이루어지며, 내부 버그 ID는 26234568입니다. 참고: 벤더는 Android에서 이 잠재적 문제의 존재를 부정하며 다음과 같이 설명합니다. "이 CVE는 오류로 인해 제기되었습니다. GCM의 인증 태그 크기를 참조한 것으로, ASN.1 인코딩에 따른 기본값(12바이트)으로 인해 취약점이 발생할 수 있습니다. 신중한 검토 결과, 12바이트라는 비보안 기본값은 인코딩에서만 적용되는 것이었으며 Android 내 다른 곳에서는 기본값이 아니었습니다. 따라서 해당 취약점은 존재하지 않았습니다."
If you want to get the best quality for vulnerability data then you always have to consider VulDB.