  |
Za poslednú hodinu: 68 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Sobota, 28. februára 2026, dnes má meniny Zlatica |
|
Android chyba umožňujúca krádeže Bitcoin potenciálne v 320 tisíc aplikáciách
Upozornila na to na základe svojej analýzy spoločnosť Symantec. Ako sme informovali v pondelňajšom článku na základe informácií Google, v triede SecureRandom sa nachádza viacero vážnych bezpečnostných chýb zapríčiňujúcich veľmi nízku kvalitu generovaných pseudonáhodných čísiel respektíve dokonca zrejme ich priame opakovanie. Podľa posledných informácií spoločnosti sa chyby prejavujú pri štandardnej automatickej inicializácii použitého pseudonáhodného generátora z OpenSSL bez externého dodania náhodnej inicializačnej hodnoty. Spoločnosť Google zatiaľ detaily chyby ani jej konkrétne prejavy nespresnila. Takýmto spôsobom generátor len cez triedu SecureRandom používa podľa Symantecu 320 tisíc aplikácií, pričom využívať je ho možné aj priamo alebo cez iné Java triedy z bezpečnostného JCA API a potenciálne ho takto môže využívať ešte viac aplikácií. V absolútnej väčšine aplikácií samozrejme ale nedostatočná kvalita získavaných pseudonáhodných čísiel nemá bezpečnostný dopad, ten má len pri niektorých použitiach spoliehajúcich sa na kryptografickú bezpečnosť. Ako sme detailne popisovali v pondelňajšom článku v Bitcoin peňaženkách sa zraniteľnosti prejavili občasným použitím úplne rovnakých náhodných čísiel pri podpisovaní vstupov transakcií, čo neznámym útočníkom vďaka použitiu algoritmu ECDSA v Bitcoine umožnilo z verejne dostupnej databázy transakcií priamo vypočítať privátne kľúče k postihnutým adresám a previesť si z nich prostriedky. Takýmto spôsobom bolo ukradnutých minimálne týchto 55.8 BTC. Zároveň ale Google upozornil, že kvôli nízkej kvalite pseudonáhodných čísiel Bitcoin peňaženky generovali slabé privátne kľúče a adresy. Keďže zatiaľ neboli zverejnené detaily nie je jasné, ako slabé boli tieto kľúče a či ich je možné ľahko zistiť. Nové verzie Bitcoin peňaženiek pre Android zverejnené v uplynulých dňoch ale štandardne vygenerovali užívateľom nové adresy a prostriedky presunuli na ne. Aké ďalšie aplikácie sú vážne postihnuté zatiaľ nie je jasné. TLS / SSL spojenia, ktorých bezpečnosť tiež stojí aj na kvalitných náhodných číslach, dostupné cez triedu HttpClient respektíve triedy z knižnice java.net podľa Google zraniteľné nie sú, keďže pred ich použitiím sa pseudonáhodný generátor inicializuje korektne. Google samotné zraniteľnosti v Androide už opravil a opravy sprístupnil výrobcom Android zariadení, vzhľadom na typickú pomalosť vydávania aktualizácií firmvéru budú zrejme ešte dlhú dobu prítomné na významnej časti zariadení. Vyhnúť sa zraniteľnostiam samozrejme môžu ale aj tvorcovia aplikácií, externou korektnou inicializáciou generátora pseudonáhodných čísiel. Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
