Ang Google ay nag-patch ng Android flaw na humantong sa Bitcoin heist

Naglabas ang Google ng advisory sa mga developer kung paano haharapin ang kamakailang natuklasang kapintasan sa Android na humantong sa pagnanakaw ng libu-libong dolyar sa Bitcoin mula sa mga wallet ng mobile app.

Ang [noon] potensyal na kapintasan ay unang naiulat sa Bitcoin forum, kung saan iniulat na mahigit 55 BTC ang ninakaw mula sa maraming user hanggang sa pareho address ng Bitcoin. Iniulat din ng user ng forum na ang mga (software) na kliyente na ninakaw ay nilagdaan ang mga mensahe ng transaksyon na may parehong random na numero. Ito naman ang naging dahilan upang maniwala ang ilan na ang pseudo random number generator (PRNG) ng Android ay hindi nasimulan nang maayos.

Kapag nilagdaan ang mga mensahe ng transaksyon, nilagdaan ang mga ito gamit ang kumbinasyon ng pribadong key at random na numero. Ang layunin ng random na numero ay itago ang halaga ng pribadong key. Kung ang parehong random na numero ay ginamit nang higit sa isang beses, ang pribadong key ay maaaring mahihinuha.

Mga developer ng Bitcoinnaglabas ng alerto tungkol dito sa loob ng 24 na oras ng post sa forum. Kung saan pinangalanan nito ang ilan sa mga apektadong app: Bitcoin Wallet, Blockchain.info wallet, BitcoinSpinner at Mycelium Wallet. Higit pa rito, kinumpirma nito na ang mga update ay inihanda para sa mga pinangalanang aplikasyon. Sa katunayan, maaari naming independiyenteng i-verify na ang Blockchain.info app ay na-update bago ang oras ng pagsulat.

Ipinayo ng mga developer ng Bitcoin na tiyaking i-update ng mga user ang kanilang mga app sa lalong madaling panahon, at pansamantalang ilipat ang mga barya sa isang alternatibong wallet.

Higit pang mga kamakailan, ang Google ay sumulong upang gumawa ng isang pahayag sa Android Developer blog nito. Kinumpirma nito na ang mga application na gumagamit ng Java Cryptography Architecture (JCA) ay hindi nakakatanggap ng cryptographically strong values ​​dahil sa hindi tamang initialization (ibig sabihin, isang "seed value"). Kinumpirma rin nito na ang PRNG ng SSL at TLS signing ng Android ay hindi naapektuhan ng depektong ito.

Sa kabutihang palad, mayroong isang bagay na maaaring (at nagawa) ng mga developer ngayon upang harapin ang problema, dahil ang pinagbabatayan na PRNG ng JCA ay maaaring tahasang masimulan ng isang mas mahusay kaysa sa default na halaga ng binhi.

Higit pa rito, nag-isyu ang Android developer team ng pag-aayos sa Open Handset Alliance (OHA) para maipatupad ng mga OEM ang pag-aayos sa kanilang mga pamamahagi ng Android. Gayunpaman, ang anumang update sa Android ay kailangang dumaan sa pagsubok ng OEM, at pagkatapos ay dumaan sa pag-apruba ng operator. Samakatuwid, ang patch ay malamang na tumagal ng mahabang panahon upang tumulo pababa sa mga end user.

Dalubhasa sa Bitcoin at propesyonal sa seguridad ng impormasyonVladimir Marchenko nagpaalala sa mga user na nangyayari ang mga depekto sa software, at dapat nilang laging alalahanin ang paglalapat ng mga patch ng seguridad at pag-update ng software sa isang napapanahong paraan. Nagsalita din siya sa lakas ng pangkat ng Bitcoin :

"Ang insidenteng ito ay nagpakita rin kung gaano propesyonal, mabilis at mahusay na tumugon ang komunidad ng Bitcoin at nalutas ang isyu. Bravo!"

Nagpatuloy si Marchenko sa pagbibigay ng sumusunod na babala: "Bilang pangkalahatang tala, maaaring hindi matalinong gumamit ng mga mobile phone upang mag-imbak ng malalaking halaga ng bitcoins. Ang mga mobile device, gayunpaman, ay lubos na maginhawa sa pang-araw-araw na paggamit ng Bitcoin at pagkakaroon ng maliliit na halaga na nakaimbak doon habang ang mas malaking halaga ay nakaimbak nang mas ligtas sa ibang lugar ay may katuturan.

"Tulad ng mga tao na may mga savings account at kasalukuyang account sa mga bangko, dapat paghiwalayin ng mga user ang pangmatagalang imbakan ng mas malalaking halaga ng bitcoin at mas maginhawang pag-imbak ng mas maliliit na halaga para sa pang-araw-araw na paggamit. Binabawasan nito ang halaga ng mga asset na nasa panganib at samakatuwid ay pangkalahatang panganib, habang nagbibigay ng makatwirang antas ng kaginhawahan."