Hibás az Android véletlenszám-generátora
Az Android javás véletlenszám-generátora hajlamos ismétlődő eredményeket adni, ezt kihasználva pedig visszafejthetőek az androidos alkalmazásokból indított Bitcoin-tranzakciók. A pénzt érdemes gyorsan biztonságba helyezni.
A Bitcoin.org figyelmeztetése szerint az Android véletlenszám-generátorában található kritikus hiba miatt az összes androidos Bitcoin-pénztárca sebezhetővé vált és lopás áldozata lehet. A bejegyzés szerint a hiba közvetlenül az Android rendszerben van, így minden, a rendszeren futó alkalmazás veszélyeztetett, beleértve a népszerűbb Bitcoin Wallet, blockchain.info, BitcoinSpinner vagy Mycelium alkalmazásokat is. Ugyanakkor azok az alkalmazások, amelyek nem generálnak privát kulcsokat a mobil eszközön, biztonságosnak számítanak, így a nagy Bitcoin-tőzsdék (Mt. Gox, Coinbase) alkalmazásait nem érinti a hiba.
A probléma gyökere a Java SecureRandom osztály androidos implementációja, amely több különböző biztonsági sebezhetőséget is tartalmaz. "Ennek eredményeképp az összes Androidon generált privát kulcs gyengének számít, néhány aláírás esetében megfigyeltünk ütköző [azonos] R értékeket, ennek birtokában a privát kulcs megoldható és a tárca tartalma kilopható" - figyelmeztet Mike Hearn szoftverfejlesztő a Bitcoin fejlesztői fórumán.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A Buhera Blog leírása szerint a probléma gyökere, hogy az Android beépített véletlenszám-generátora hajlamos kétszer ugyanazt a számot kidobni, amitől az azonos véletlen-részt használó tranzakciók visszafejthetőek, annyira, hogy a támadó a tárca tulajdonosát megszemélyesítve indíthat tranzakciót. Ezt az teszi lehetővé, hogy a Bitcoin rendszer számon tartja az összes korábbi tranzakciót, amelyek nyilvánosan is elérhetőek. Ha ezek között van két azonosan generált aláírás, akkor akár a tárca teljes tartalmát (visszavonhatatlanul) átutalhatja a támadó a saját számlájára. Ha az androidos véletlenszám-generátor hibája ennyire súlyos, az kriptográfiai alkalmazások sokaságát érintheti - hívja fel a figyelmet a blog.
Egyszerű a megoldás
Az androidos pénztárcával (is) rendelkező felhasználók kulcscserével helyezhetik biztonságba pénzüket. Ehhez létre kell hozni egy új címet és a potenciálisan sebezhető tárca tartalmát áthelyezni ide. Az érintett alkalmazások fejlesztői gyors ütemben dolgoznak a hiba javításán, a Bitcoin Wallet például már javított verzióban érhető el a Play Store-ból, a frissítés pedig automatiksan elvégzi a fent leírt kulcscserét is.