Google признаха, че уязвимостта на тяхната мобилна платформа е причината за проблемите с цифровите портфейли на Bitcoin. Експерти по сигурността обаче алармират, че този проблем е нищожен, тъй като хиляди други приложения са изложени на риск от подобна атака.
Според изявлението от Google, дефект в Android прави Bitcoin цифровите портфейли уязвими към кражба. От блог на инженера по сигурността Алекс Клуибин стават ясни основните причини за уязвимостта.
„Вече сме установили, че приложения, които използват Java Cryptography Architecture (JCA) за генериране на ключове, цифрови подписи, или генериране на случайни цифрови поредици не получават достатъчно защитено криптиране при Android устройствата“, твърди Клуибин.
„Проблемът се дължи на неправилна инициализация на базовия софтуер, който генерира криптографски сигурни поредици от числа. Става въпрос за Fortuna (PRNG), което е криптографски защитен псевдослучаен генератор на числа (PRNG) създаден от Брус Шнайер и Нилс Фъргюсън и кръстен на Фортуна, римската богиня на късмета.
Според експертите проблемът се корени в операционната система, всеки Bitcoin цифров портфейл създаден от Android приложение, който е генериран с PRNG ключ от Android SecureRandom може да бъдат засегнат от тази уязвимост.
Анализаторите твърдят, че този проблем е довел до кражби за около $ 5 720 от Bitcoins през миналата седмица. „Тъй като сделките са публични в мрежата на Bitcoin, хакерите следят транзакциите за конкретни сделки подписани с код генериран от Android приложения, който поради бъга е идентичен за всички. След това те извличат частния ключ и прехвърлят средства от Bitcoin портфейла без съгласието на собственика“, се казва в специално изявление на експерти от Symantec.
Изходът за момента според Клуибин е потребителите, които използват Java Cryptography Architecture (JCA) за генериране на PRNG ключ да актуализират своите приложения, за да се инициализират криптографска поредица от числа с различен код.
Google на свой ред вече са създали актуализация, която гарантира, че Android OpenSSL PRNG се инициализира правилно. Това би трябвало да е добра новина за над 360 000 приложения, които са уязвими за подобни атаки, тъй като те също използват Android SecureRandom за създаването на PRNG ключове.
Discussion about this post