Mellékleteink: HUP | Gamekapocs
Keres

Hibás az Android véletlenszám-generátora

Gálffy Csaba, 2013. augusztus 12. 11:04
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az Android javás véletlenszám-generátora hajlamos ismétlődő eredményeket adni, ezt kihasználva pedig visszafejthetőek az androidos alkalmazásokból indított Bitcoin-tranzakciók. A pénzt érdemes gyorsan biztonságba helyezni.

hirdetés

A Bitcoin.org figyelmeztetése szerint az Android véletlenszám-generátorában található kritikus hiba miatt az összes androidos Bitcoin-pénztárca sebezhetővé vált és lopás áldozata lehet. A bejegyzés szerint a hiba közvetlenül az Android rendszerben van, így minden, a rendszeren futó alkalmazás veszélyeztetett, beleértve a népszerűbb Bitcoin Wallet, blockchain.info, BitcoinSpinner vagy Mycelium alkalmazásokat is. Ugyanakkor azok az alkalmazások, amelyek nem generálnak privát kulcsokat a mobil eszközön, biztonságosnak számítanak, így a nagy Bitcoin-tőzsdék (Mt. Gox, Coinbase) alkalmazásait nem érinti a hiba.

A probléma gyökere a Java SecureRandom osztály androidos implementációja, amely több különböző biztonsági sebezhetőséget is tartalmaz. "Ennek eredményeképp az összes Androidon generált privát kulcs gyengének számít, néhány aláírás esetében megfigyeltünk ütköző [azonos] R értékeket, ennek birtokában a privát kulcs megoldható és a tárca tartalma kilopható" - figyelmeztet Mike Hearn szoftverfejlesztő a Bitcoin fejlesztői fórumán.

A Buhera Blog leírása szerint a probléma gyökere, hogy az Android beépített véletlenszám-generátora hajlamos kétszer ugyanazt a számot kidobni, amitől az azonos véletlen-részt használó tranzakciók visszafejthetőek, annyira, hogy a támadó a tárca tulajdonosát megszemélyesítve indíthat tranzakciót. Ezt az teszi lehetővé, hogy a Bitcoin rendszer számon tartja az összes korábbi tranzakciót, amelyek nyilvánosan is elérhetőek. Ha ezek között van két azonosan generált aláírás, akkor akár a tárca teljes tartalmát (visszavonhatatlanul) átutalhatja a támadó a saját számlájára. Ha az androidos véletlenszám-generátor hibája ennyire súlyos, az kriptográfiai alkalmazások sokaságát érintheti - hívja fel a figyelmet a blog.

Egyszerű a megoldás

Az androidos pénztárcával (is) rendelkező felhasználók kulcscserével helyezhetik biztonságba pénzüket. Ehhez létre kell hozni egy új címet és a potenciálisan sebezhető tárca tartalmát áthelyezni ide. Az érintett alkalmazások fejlesztői gyors ütemben dolgoznak a hiba javításán, a Bitcoin Wallet például már javított verzióban érhető el a Play Store-ból, a frissítés pedig automatiksan elvégzi a fent leírt kulcscserét is.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.