La semana pasada, alrededor de $ 5.720 de bitcoins fueron robados de una billetera digital y la razón es una debilidad en Java Cryptography Architecture de Android. Google seguridad ingeniero Alex Klyubin confirmó esto en un blog a principios de semana. También advirtió que otras aplicaciones podría verse comprometida si no los desarrolladores cambiar la forma de acceder a los generadores de números pseudo-aleatorios (PRNG).
"Hemos determinado que las aplicaciones que utilizan el Java Cryptography Architecture (JCA) para la generación de claves, firma, o la generación de números aleatorios no pueden recibir valores criptográficamente fuertes en los dispositivos Android debido a la inicialización incorrecta de la PRNG subyacente", escribió. "Las aplicaciones que invocan directamente el sistema proporcionado por el PRNG OpenSSL sin inicialización explícita en Android también se ven afectados."
Recientemente, Symantec advirtió que tanto como 360.000 aplicaciones Android se basan en la SecureRandom, uno de los servicios de programación para la generación de números aleatorios proporcionados por la JCA. Las aplicaciones de Android que fueron explotadas en el más reciente robo pudo haber firmado varias transacciones con el mismo número que el pensamiento aplicaciones eran al azar. "Dado que las transacciones son públicas en la red Bitcoin, asaltantes recorrieron la cadena de bloque de transacción en busca de estas transacciones particulares para recuperar la clave privada y la transferencia de fondos de la cartera Bitcoin sin el consentimiento del propietario."
Google recomienda que los desarrolladores actualicen todas las aplicaciones que utilizan JCA para "inicializar explícitamente el PRNG con la entropía de / dev / urandom o / dev / random." También deben regenerar las claves de cifrado u otros valores al azar que se generaron originalmente usando JCA.
via: talkandroid
No hay comentarios:
Publicar un comentario