Szerző: Gálffy Csaba

2013. augusztus 12. 11:04

Hibás az Android véletlenszám-generátora

Az Android javás véletlenszám-generátora hajlamos ismétlődő eredményeket adni, ezt kihasználva pedig visszafejthetőek az androidos alkalmazásokból indított Bitcoin-tranzakciók. A pénzt érdemes gyorsan biztonságba helyezni.

A Bitcoin.org figyelmeztetése szerint az Android véletlenszám-generátorában található kritikus hiba miatt az összes androidos Bitcoin-pénztárca sebezhetővé vált és lopás áldozata lehet. A bejegyzés szerint a hiba közvetlenül az Android rendszerben van, így minden, a rendszeren futó alkalmazás veszélyeztetett, beleértve a népszerűbb Bitcoin Wallet, blockchain.info, BitcoinSpinner vagy Mycelium alkalmazásokat is. Ugyanakkor azok az alkalmazások, amelyek nem generálnak privát kulcsokat a mobil eszközön, biztonságosnak számítanak, így a nagy Bitcoin-tőzsdék (Mt. Gox, Coinbase) alkalmazásait nem érinti a hiba.

A probléma gyökere a Java SecureRandom osztály androidos implementációja, amely több különböző biztonsági sebezhetőséget is tartalmaz. "Ennek eredményeképp az összes Androidon generált privát kulcs gyengének számít, néhány aláírás esetében megfigyeltünk ütköző [azonos] R értékeket, ennek birtokában a privát kulcs megoldható és a tárca tartalma kilopható" - figyelmeztet Mike Hearn szoftverfejlesztő a Bitcoin fejlesztői fórumán.

Éles a modern webfejlesztés és CI/CD meetupjaink programja!

December 29-30-án folyatódik a HWSW online meetup-sorozata.

Éles a modern webfejlesztés és CI/CD meetupjaink programja! December 29-30-án folyatódik a HWSW online meetup-sorozata.

A Buhera Blog leírása szerint a probléma gyökere, hogy az Android beépített véletlenszám-generátora hajlamos kétszer ugyanazt a számot kidobni, amitől az azonos véletlen-részt használó tranzakciók visszafejthetőek, annyira, hogy a támadó a tárca tulajdonosát megszemélyesítve indíthat tranzakciót. Ezt az teszi lehetővé, hogy a Bitcoin rendszer számon tartja az összes korábbi tranzakciót, amelyek nyilvánosan is elérhetőek. Ha ezek között van két azonosan generált aláírás, akkor akár a tárca teljes tartalmát (visszavonhatatlanul) átutalhatja a támadó a saját számlájára. Ha az androidos véletlenszám-generátor hibája ennyire súlyos, az kriptográfiai alkalmazások sokaságát érintheti - hívja fel a figyelmet a blog.

Egyszerű a megoldás

Az androidos pénztárcával (is) rendelkező felhasználók kulcscserével helyezhetik biztonságba pénzüket. Ehhez létre kell hozni egy új címet és a potenciálisan sebezhető tárca tartalmát áthelyezni ide. Az érintett alkalmazások fejlesztői gyors ütemben dolgoznak a hiba javításán, a Bitcoin Wallet például már javított verzióban érhető el a Play Store-ból, a frissítés pedig automatiksan elvégzi a fent leírt kulcscserét is.

A Beckhoff ultrakompakt, C6025 típusú ipari PC az Intel Core i processzorcsalád nagy számítási teljesítményével rendelkezik, ventilátor nélküli, kisméretű kivitelben. A rendkívül alacsony fogyasztású, új Intel Core i U processzorok teszik mindezt lehetővé.

a címlapról

Hirdetés

Csúcstechnológia pár koppintással: ezt tudja a Huawei nova 9

2021. november 28. 21:44

Manapság egyre-másra jelennek meg olyan új mobilok, amelyek hihetetlen funkciókat ígérnek, de ezeket szinte műszaki diplomával lehet csak előcsalogatni. A HUAWEI nova 9 igazi ereje abban rejlik, milyen egyszerű előcsalogatni a mobil tudását.