Google corrige una falla de Android que provocó el robo de Bitcoin

Google ha publicado un aviso para desarrolladores sobre cómo lidiar con elFalla descubierta recientemente en Android que llevó al robo de miles de dólares en Bitcoin de las billeteras de aplicaciones móviles.

El [entonces] fallo potencial se informó por primera vez en elForo de Bitcoin, donde se informó que se habían robado más de 55 BTC de varios usuarios al mismo tiempo. dirección de BitcoinEl usuario del foro también informó que los clientes (de software) robados habían firmado los mensajes de transacción con el mismo número aleatorio. Esto, a su vez, llevó a algunos a creer que el generador de números pseudoaleatorios (PRNG) de Android no se estaba inicializando correctamente.

Cuando se firman los mensajes de transacción, se utilizan una combinación de la clave privada y un número aleatorio. El propósito del número aleatorio es ocultar el valor de la clave privada. Si se utiliza el mismo número aleatorio varias veces, se puede deducir la clave privada.

Desarrolladores de Bitcoinemitió una alertaSe informó sobre esto en las 24 horas siguientes a la publicación en el foro. En ella se mencionaron algunas de las aplicaciones afectadas:Monedero Bitcoin,Monedero Blockchain.info,Bitcoin Spinner y Monedero MyceliumAdemás, se confirmó que se habían preparado actualizaciones para las aplicaciones mencionadas. De hecho, podemos verificar de forma independiente que al menos la aplicación Blockchain.info se había actualizado antes del momento de escribir este artículo.

Los desarrolladores de Bitcoin continuaron aconsejando a los usuarios que se aseguren de actualizar sus aplicaciones lo antes posible y, mientras tanto, muevan sus monedas a una billetera alternativa.

Más recientemente, Google se ha presentado para hacer unaDeclaración en su blog para desarrolladores de AndroidSe confirmó que las aplicaciones que utilizan la Arquitectura de Criptografía Java (JCA) no recibían valores criptográficamente robustos debido a una inicialización incorrecta (es decir, un "valor semilla"). También se confirmó que el PRNG de la firma SSL y TLS de Android no se vio afectado por esta falla.

Afortunadamente, hay algo que los desarrolladores pueden (y han hecho) hacer ahora para solucionar el problema, ya que el PRNG subyacente del JCA se puede inicializar explícitamente con un valor de semilla mejor que el predeterminado.

Además, el equipo de desarrolladores de Android ha publicado una corrección en la Open Handset Alliance (OHA) para que los fabricantes de equipos originales (OEM) puedan implementarla en sus distribuciones de Android. Sin embargo, cualquier actualización de Android debe pasar las pruebas del OEM y luego la aprobación del operador. Por lo tanto, es probable que la actualización tarde bastante en llegar a los usuarios finales.

Experto en Bitcoin y profesional en seguridad de la informaciónVladimir Marchenko Recordó a los usuarios que las fallas de software ocurren y que siempre deben tener cuidado de aplicar parches de seguridad y actualizaciones de software de manera oportuna. También habló sobre la fortaleza del equipo de Bitcoin :

Este incidente también ha demostrado la profesionalidad, rapidez y eficiencia con la que la comunidad Bitcoin ha reaccionado y resuelto el problema. ¡Bravo!

Marchenko continuó dando la siguiente nota de advertencia: "Como nota general, puede que no sea prudente utilizar teléfonos móviles paraalmacenar grandes cantidades de bitcoinsSin embargo, los dispositivos móviles son extremadamente convenientes para el uso diario de Bitcoin , y tener pequeñas cantidades almacenadas allí mientras cantidades mayores se guardan de forma más segura en otro lugar tiene sentido.

"Al igual que las personas tienen cuentas de ahorro y cuentas corrientes en los bancos, los usuarios deberían separar el almacenamiento a largo plazo de grandes cantidades de bitcoins y el almacenamiento más cómodo de cantidades más pequeñas para el uso diario. Esto reduce la cantidad de activos en riesgo y, por lo tanto, el riesgo general, al tiempo que proporciona un nivel razonable de comodidad."