Google подтвердила наличие уязвимости в Android, используя которую можно похищать цифровые кошельки Bitcoin. Инженер по системной безопасности Android Алекс Клюбин в среду опубликовал на ресурсах Google данные о причинах уязвимости. "Мы обнаружили, что приложения, которые используют Java Cryptography Architecture (JCA) для генерации ключей, подписей или генерации случайных чисел, не всегда получает криптографически стойкие значения на Android-устройствах, что происходит из-за неверной реализации технологии PRNG… Приложения, которые напрямую используют OpenSSL PRNG без инициализации механизма Android тоже подвержены уязвимости", - пишет он. Серьезная уязвимость была выявлена в воскресенье рядом Bitcoin-разработчиков. Уязвимость возникала в компоненте генерации случайных чисел. Так как проблема крылась в самой ОС, то ей оказались подвержены все Bitcoin-программы, работающие с данной ОС. По оценкам Symantec, в результате похожей уязвимости в Android SecureRandom-компоненте могут быть уязвимы и порядка 360 000 других приложений. В Symantec говорят, что некоторые bitcoin-приложения используют данный класс не только для защиты кошельков, но и для генерации чисел-идентификаторов транзакций, что позволяет подделывать платежные операции в Bitcoin. "Так как транзакции в Bitcoin являются публичными, атакующие могут использовать генераторы чисел нужной последовательности, чтобы ставить под угрозу всех пользователей системы", - говорят в Symantec.
Источник