Dalam sebuah posting blog yang diterbitkan pada Rabu, Android Keamanan Insinyur Alex Klyubin membenarkan adanya kerentanan Android yang bisa dimanfaatkan untuk berkompromi dompet Bitcoin. Masalahnya terletak pada pelaksanaan kelas SecureRandom.
"Kami sekarang telah menentukan bahwa aplikasi yang menggunakan Java Cryptography Architecture (JCA) untuk pembangkitan kunci, menandatangani, atau nomor acak generasi mungkin tidak menerima nilai-nilai cryptographically kuat pada perangkat Android karena inisialisasi yang tidak benar dari PRNG yang mendasarinya," jelas Klyubin.
"Aplikasi yang langsung memanggil sistem tersedia OpenSSL PRNG tanpa inisialisasi eksplisit pada Android juga terpengaruh. Aplikasi yang membangun TLS / SSL koneksi menggunakan HttpClient dan kelas java.net tidak terpengaruh karena kelas-kelas yang seed PRNG OpenSSL dengan nilai-nilai dari / dev / urandom, "tambahnya.
Android telah mengembangkan patch untuk memastikan PRNG OpenSSL diinisialisasi dengan benar. Selain itu, pengembang yang menggunakan JCA untuk pembangkitan kunci, menandatangani, atau nomor acak generasi telah disediakan dengan informasi tentang bagaimana untuk mengatasi masalah ini.
Menurut Symantec, lebih dari 360.000 aplikasi Android menggunakan SecureRandom. Lebih dari 320.000 dari penggunaan SecureRandom dalam cara yang sama seperti dompet Bitcoin berdampak dilakukan.
"Beberapa bitcoin dompet aplikasi yang menggunakan SecureRandom Android menandatangani beberapa transaksi menggunakan nomor 'random' identik. Karena transaksi bersifat publik di jaringan bitcoin, penyerang mengamati blok rantai transaksi mencari transaksi ini khusus untuk mengambil kunci pribadi dan dana transfer dari dompet bitcoin tanpa persetujuan pemilik, "kata perusahaan.
Kerentanan telah dimanfaatkan untuk mentransfer setidaknya 55.82152538 koin dari berbagai dompet.
Technica telah belajar bahwa masalah ini mempengaruhi semua versi Android, bukan hanya 4.2 dan varian sebelumnya.
Sementara itu, pos awal pada Bitcoin.org telah diperbarui untuk menjelaskan bahwa update telah dirilis untuk Bitcoin Dompet, BitcoinSpinner, blockchain.info dan Miselium Bitcoin Wallet.
0komentar:
Post a Comment