:

Szerző: Gálffy Csaba

2013. augusztus 12. 11:04

Hibás az Android véletlenszám-generátora

Az Android javás véletlenszám-generátora hajlamos ismétlődő eredményeket adni, ezt kihasználva pedig visszafejthetőek az androidos alkalmazásokból indított Bitcoin-tranzakciók. A pénzt érdemes gyorsan biztonságba helyezni.

A Bitcoin.org figyelmeztetése szerint az Android véletlenszám-generátorában található kritikus hiba miatt az összes androidos Bitcoin-pénztárca sebezhetővé vált és lopás áldozata lehet. A bejegyzés szerint a hiba közvetlenül az Android rendszerben van, így minden, a rendszeren futó alkalmazás veszélyeztetett, beleértve a népszerűbb Bitcoin Wallet, blockchain.info, BitcoinSpinner vagy Mycelium alkalmazásokat is. Ugyanakkor azok az alkalmazások, amelyek nem generálnak privát kulcsokat a mobil eszközön, biztonságosnak számítanak, így a nagy Bitcoin-tőzsdék (Mt. Gox, Coinbase) alkalmazásait nem érinti a hiba.

A probléma gyökere a Java SecureRandom osztály androidos implementációja, amely több különböző biztonsági sebezhetőséget is tartalmaz. "Ennek eredményeképp az összes Androidon generált privát kulcs gyengének számít, néhány aláírás esetében megfigyeltünk ütköző [azonos] R értékeket, ennek birtokában a privát kulcs megoldható és a tárca tartalma kilopható" - figyelmeztet Mike Hearn szoftverfejlesztő a Bitcoin fejlesztői fórumán.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A Buhera Blog leírása szerint a probléma gyökere, hogy az Android beépített véletlenszám-generátora hajlamos kétszer ugyanazt a számot kidobni, amitől az azonos véletlen-részt használó tranzakciók visszafejthetőek, annyira, hogy a támadó a tárca tulajdonosát megszemélyesítve indíthat tranzakciót. Ezt az teszi lehetővé, hogy a Bitcoin rendszer számon tartja az összes korábbi tranzakciót, amelyek nyilvánosan is elérhetőek. Ha ezek között van két azonosan generált aláírás, akkor akár a tárca teljes tartalmát (visszavonhatatlanul) átutalhatja a támadó a saját számlájára. Ha az androidos véletlenszám-generátor hibája ennyire súlyos, az kriptográfiai alkalmazások sokaságát érintheti - hívja fel a figyelmet a blog.

Egyszerű a megoldás

Az androidos pénztárcával (is) rendelkező felhasználók kulcscserével helyezhetik biztonságba pénzüket. Ehhez létre kell hozni egy új címet és a potenciálisan sebezhető tárca tartalmát áthelyezni ide. Az érintett alkalmazások fejlesztői gyors ütemben dolgoznak a hiba javításán, a Bitcoin Wallet például már javított verzióban érhető el a Play Store-ból, a frissítés pedig automatiksan elvégzi a fent leírt kulcscserét is.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

3

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.