Google подтвердила наличие в Android уязвимости, связанной с Bitcoin

Google подтвердила наличие уязвимости в Android, используя которую можно похищать цифровые кошельки Bitcoin. Инженер по системной безопасности Android Алекс Клюбин в среду рассказал в блоге Google о причинах уязвимости: "Мы обнаружили, что приложения, которые используют Java Cryptography Architecture (JCA) для генерации ключей, подписей или генерации случайных чисел, не всегда получает криптографически стойкие значения на Android-устройствах, что происходит из-за неверной реализации технологии PRNG… Приложения, непосредственно использующие OpenSSL PRNG без инициализации механизма Android также подвержены уязвимости".

Серьезная уязвимость была выявлена в воскресенье рядом Bitcoin-разработчиков. Брешь возникала в компоненте генерации случайных чисел. Так как проблема крылась в самой ОС, то ей оказались подвержены все Bitcoin-программы, работающие на Android.

По оценкам Symantec, в результате похожей уязвимости в Android SecureRandom-компоненте могут быть уязвимы и порядка 360 000 других приложений. В Symantec говорят, что некоторые bitcoin-приложения используют данный класс не только для защиты кошельков, но и для генерации чисел-идентификаторов транзакций, что позволяет подделывать платежные операции в Bitcoin. 

Источник: cybersecurity.ru

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!