Google подтвердила наличие уязвимости в Android, используя которую можно похищать цифровые кошельки Bitcoin.
Google подтвердила наличие уязвимости в Android, используя которую можно похищать цифровые кошельки Bitcoin. Инженер по системной безопасности Android Алекс Клюбин в среду рассказал в блоге Google о причинах уязвимости: "Мы обнаружили, что приложения, которые используют Java Cryptography Architecture (JCA) для генерации ключей, подписей или генерации случайных чисел, не всегда получают криптографически стойкие значения на Android-устройствах, что происходит из-за неверной реализации технологии PRNG… Приложения, непосредственно использующие OpenSSL PRNG без инициализации механизма Android, также подвержены уязвимости".
Серьезная уязвимость была выявлена в воскресенье рядом Bitcoin-разработчиков. Брешь возникала в компоненте генерации случайных чисел. Так как проблема крылась в самой ОС, то ей оказались подвержены все Bitcoin-программы, работающие на Android.
По оценкам Symantec, в результате похожей уязвимости в Android SecureRandom-компоненте могут быть уязвимы и порядка 360 000 других приложений. В Symantec говорят, что некоторые bitcoin-приложения используют данный класс не только для защиты кошельков, но и для генерации чисел-идентификаторов транзакций, что позволяет подделывать платежные операции в Bitcoin.
