neprihlásený Sobota, 28. februára 2026, dnes má meniny Zlatica
Android chyba umožňujúca krádeže Bitcoin potenciálne v 320 tisíc aplikáciách

DSL.sk, 16.8.2013


Trieda SecureRandom sprístupňujúca pseudonáhodný generátor čísiel v Androide, v ktorom boli objavené vážne bezpečnostné chyby, je spôsobom potenciálne spôsobujúcim bezpečnostné zraniteľnosti využívaná až v 320 tisíc Android aplikáciách.

Upozornila na to na základe svojej analýzy spoločnosť Symantec.

Ako sme informovali v pondelňajšom článku na základe informácií Google, v triede SecureRandom sa nachádza viacero vážnych bezpečnostných chýb zapríčiňujúcich veľmi nízku kvalitu generovaných pseudonáhodných čísiel respektíve dokonca zrejme ich priame opakovanie.

Podľa posledných informácií spoločnosti sa chyby prejavujú pri štandardnej automatickej inicializácii použitého pseudonáhodného generátora z OpenSSL bez externého dodania náhodnej inicializačnej hodnoty.

Spoločnosť Google zatiaľ detaily chyby ani jej konkrétne prejavy nespresnila.

Takýmto spôsobom generátor len cez triedu SecureRandom používa podľa Symantecu 320 tisíc aplikácií, pričom využívať je ho možné aj priamo alebo cez iné Java triedy z bezpečnostného JCA API a potenciálne ho takto môže využívať ešte viac aplikácií.

V absolútnej väčšine aplikácií samozrejme ale nedostatočná kvalita získavaných pseudonáhodných čísiel nemá bezpečnostný dopad, ten má len pri niektorých použitiach spoliehajúcich sa na kryptografickú bezpečnosť.

Ako sme detailne popisovali v pondelňajšom článku v Bitcoin peňaženkách sa zraniteľnosti prejavili občasným použitím úplne rovnakých náhodných čísiel pri podpisovaní vstupov transakcií, čo neznámym útočníkom vďaka použitiu algoritmu ECDSA v Bitcoine umožnilo z verejne dostupnej databázy transakcií priamo vypočítať privátne kľúče k postihnutým adresám a previesť si z nich prostriedky. Takýmto spôsobom bolo ukradnutých minimálne týchto 55.8 BTC.

Zároveň ale Google upozornil, že kvôli nízkej kvalite pseudonáhodných čísiel Bitcoin peňaženky generovali slabé privátne kľúče a adresy. Keďže zatiaľ neboli zverejnené detaily nie je jasné, ako slabé boli tieto kľúče a či ich je možné ľahko zistiť. Nové verzie Bitcoin peňaženiek pre Android zverejnené v uplynulých dňoch ale štandardne vygenerovali užívateľom nové adresy a prostriedky presunuli na ne.

Aké ďalšie aplikácie sú vážne postihnuté zatiaľ nie je jasné. TLS / SSL spojenia, ktorých bezpečnosť tiež stojí aj na kvalitných náhodných číslach, dostupné cez triedu HttpClient respektíve triedy z knižnice java.net podľa Google zraniteľné nie sú, keďže pred ich použitiím sa pseudonáhodný generátor inicializuje korektne.

Google samotné zraniteľnosti v Androide už opravil a opravy sprístupnil výrobcom Android zariadení, vzhľadom na typickú pomalosť vydávania aktualizácií firmvéru budú zrejme ešte dlhú dobu prítomné na významnej časti zariadení. Vyhnúť sa zraniteľnostiam samozrejme môžu ale aj tvorcovia aplikácií, externou korektnou inicializáciou generátora pseudonáhodných čísiel.



Najnovšie články:

NASA opäť posunula termín pristátia posádky na Mesiaci
Samsung údajne na Slovensku ukončí výrobu TV
Týždeň po zemetrasení bolo počuť opäť výbuch, zrejme kvôli letu F-16
Netflix nezíska HBO, ukončil boj s Paramountom
Smartfóny v tomto roku výrazne zdražia, predá sa ich oveľa menej
Nový Samsung Galaxy má displej so zabudovanou ochranou súkromia
Košice schválili pravidlá pre balíkomaty
NASA úspešne presunula raketu SLS do hangáru, trvalo to viac ako 10 hodín
Podpora viacerých LTS verzií linuxového jadra predĺžená, už neskončí naraz
EÚ roaming sa má rozšíriť do viacerých krajín na Balkáne


Diskusia:
                               
 

preto mam 1200 penazenieks 1bitcoinom v kazdej :) istota je gulomet
Odpovedať Známka: -4.7 Hodnotiť:
 

Arcielts like this make life so much simpler.
Odpovedať Hodnotiť:
 

Stále treba pripomínať, že handrové POOR OS sa nehodia na ostré nasadenie.
Odpovedať Známka: -1.5 Hodnotiť:
 

najväčšiu slabinu vidím v samotnom bitcoine a preto sú mi ukradnuté
Odpovedať Známka: -3.1 Hodnotiť:
 

... tak ako ostatnym, v celkovej sume 55.8 BTC :-))
Odpovedať Známka: 4.4 Hodnotiť:
 

minimálnej
Odpovedať Známka: -2.0 Hodnotiť:
 

...nasrat na bitcoin.
Odpovedať Známka: 2.2 Hodnotiť:
 

nasrat na handroid
Odpovedať Známka: -3.7 Hodnotiť:
 

hej android je uplne cool - mozete tam mat aplikaciu na youtube, facebook, milion hier a dalsiu miliardu nepotrebnych aplikacii...skor treba nasrat na smrad phony
Odpovedať Známka: -3.3 Hodnotiť:
 

Takze cely problem je v tom, ze sa manualne neinicializoval generator nahodnych cisel. Ale spoliehali sa na automat.
Pred 10-timi rokmi nas na skole ucili, ze pri generovani nahodneho cisla je potrebne VZDY najskor inicializovat generator, inak nebudu nahodne cisla az tak nahodne.
Je mi preto divne stazovat sa na android, ked samotni programatori z vlastnej lenivosti neurobili tento krok.
Odpovedať Známka: 5.5 Hodnotiť:
 

ale ved android vyvijaju prave tito lenivci... :-D
Odpovedať Známka: -0.3 Hodnotiť:
 

Haejllulah! I needed this-you're my savior.
Odpovedať Hodnotiť:
 

Handroshit a Bitcockot su sracky. Koho take bullshity zaujimaju? Jedine deti, socky, dementov a masochistov. Pre ostatnych je iOS, WP8, IB a cash.
Odpovedať Známka: -5.0 Hodnotiť:
 

tie bitokokoty sa predaju za 100 dolarov jeden
Odpovedať Známka: -2.3 Hodnotiť:
 

a co ako ma byt? stale su okolo bitcoinov nejake kradeze, podfuky, zatial to nema realne nasadnie a dufam ze ani mat nebude - az na par iniciativcov ktori si z toho chcu spravit biznis. zatial bitcoiny pouzivaju vyhradne geekovia, par pseudo spolocnosti ktore sa chcu zviditelnit a henten kokotko odvedla s 5" androidom v ruke, nonstop online.

penazenku mi vyprazdni len niekto silnejsi, komp/IT a vsetky tieto podobne digitalne balasty by mali zaniknut.

* na vyjadrenie vaseho nazoru mi staci dat minus.
Odpovedať Známka: -4.3 Hodnotiť:
 

skoda minuska
Odpovedať Známka: 0.9 Hodnotiť:
 

Ou bacha, mame docinenia s prudko inteligentnym jedincom a jeho komplexnymi formulaciami.
Odpovedať Známka: -7.1 Hodnotiť:
 

Learning a ton from these neat arcleits.
Odpovedať Hodnotiť:
 

asponze otrokarov mas znackovych,co? :D
Odpovedať Známka: 5.6 Hodnotiť:
 

ano android je naozaj chyba.
Odpovedať Známka: -0.9 Hodnotiť:
 

chyba je tam kde pracujes
Odpovedať Známka: -1.7 Hodnotiť:
 

Zmierte sa s tým, handrojďáci, že Váš systém nikdy nebude ani z polovice dosahovať kvalít iOS a ani WP8... rýchlosť, stabilita a bezpečnosť sú Handroidu pojmy neznáme.
Odpovedať Známka: -1.0 Hodnotiť:
 

what if i told you: iOS ma v sebe tiez vulnerability ale nieje opensource tak sa v nom tazsie hladaju, android si prejde takouto vlnou ale vysledok bude vyladeny zaplatany system.
Odpovedať Známka: 1.4 Hodnotiť:
 

To tazko blbe
Odpovedať Známka: -0.9 Hodnotiť:
 

I started using Waze a clpoue of months ago. It definitely needs more people to use it to be valuable (which is true of any social tool.) More users would increase the accuracy of the maps and routing which I found to be very good in some cases, and REALLY bad in other cases. Joining Waze Groups helps too, if there are a lot of users in your area. While the app on my phone is good, I cannot for the life of me figure out the map editing stuff on their web site. Totally lost there.
Odpovedať Hodnotiť:
 

Prestal som čítať pri slove "handrojďáci", pretože viem, že toto môže napísať len nejaké decko, takže ďalší text už musí byť len nejaká sprostorsť. Sám sa zhadzuješ, keď niečo takéto napíšeš. Nikto normálny Ťa nebude brať vážne.
Odpovedať Známka: 0.0 Hodnotiť:
 

Dobre sa zhovadil, ze ty buzna
Odpovedať Známka: -1.1 Hodnotiť:
 

"Android chyba umoznujuca...". Pane boze, nie Chyba v Androide, ale Android chyba, lol. Dsl titlemaster rulez
Odpovedať Známka: 10.0 Hodnotiť:
 

Handroid je cely jedna velka chyba, deravy ako sito.
Odpovedať Známka: 5.6 Hodnotiť:

Pridať komentár