Обменник

Google опубликовал консультацию разработчиков о том, как справиться с недавно обнаруженная ошибка в Android, что привело к краже тысяч долларов в биткойне из кошельков мобильных приложений.

Потенциальный недостаток [затем] был впервые представлен на Биткойн форум , где сообщалось, что более 55 БТД были украдены у нескольких пользователей до того же биткойн-адрес , Пользователь форума также сообщил, что (программные) клиенты, которые были украдены, подписали транзакционные сообщения с одинаковым случайным числом. Это в свою очередь заставило некоторых полагать, что генератор псевдослучайных чисел Android (PRNG) не был правильно инициализирован.

Когда транзакционные сообщения подписываются, они подписываются с комбинацией личного ключа и случайного числа. Цель случайного числа состоит в том, чтобы скрыть значение закрытого ключа. Если одно и то же случайное число используется более одного раза, можно вывести закрытый ключ.

blockchain android update

Разработчики биткойнов выпустил предупреждение об этом в течение 24 часов после сообщения форума. В котором он назвал некоторые из затронутых приложений: Биткойн-кошелек , Кошелек Blockchain.info , BitcoinSpinner а также Кошелек , Кроме того, он подтвердил, что для названных приложений были подготовлены обновления. В самом деле, мы можем независимо убедиться, что по крайней мере приложение Blockchain.info было обновлено до момента написания.

Разработчики Bitcoin продолжали сообщать пользователям, что они обновляют свои приложения как можно скорее, и тем временем перекладывают монеты на другой кошелек.

Совсем недавно Google выступил с предложением сделать в своем блоге разработчика Android , Он подтвердил, что приложения, использующие архитектуру криптографии Java (JCA), не получают криптографически сильных значений из-за неправильной инициализации (т. Е. «Начального значения»). Это также подтвердило, что этот недостаток не повлиял на PRNG для SSL и TLS подписки Android.

К счастью, есть что-то, что разработчики могут (и сделали) сделать для решения этой проблемы, так как базовый PRNG JCA может быть явно инициализирован с использованием начального значения, отличного от значения по умолчанию.

Кроме того, команда разработчиков Android выпустила исправление для Open Handset Alliance (OHA), чтобы OEM-производители могли внедрить исправление в свои дистрибутивы Android. Тем не менее, любое обновление Android должно пройти тестирование OEM, а затем пройти официальное утверждение оператора. Таким образом, патч, скорее всего, займет много времени, чтобы просочиться до конечных пользователей.

Биткойн эксперт и специалист по информационной безопасности Владимир Марченко напомнил пользователям, что недостатки в программном обеспечении происходят, и что они всегда должны помнить об исправлениях безопасности и обновлениях программного обеспечения своевременно. Он также говорил о силе команды биткойнов:

«Этот инцидент также продемонстрировал, как профессионально, быстро и эффективно сообщество биткойнов отреагировало и решило проблему. Браво!»

Марченко продолжил давать следующее предостерегающее примечание: «В общем случае было бы неразумно использовать мобильные телефоны для хранить большое количество биткойнов , Однако мобильные устройства чрезвычайно удобны при ежедневном использовании биткойна и хранении небольших количеств, тогда как большие объемы хранятся более надежно в других местах.

«Подобно тому, как у людей есть сберегательные счета и текущие счета в банках, пользователи должны отделить долгосрочное хранение большего количества биткойнов и более удобное хранение меньших сумм для повседневного использования. Это уменьшает количество активов под угрозой и, следовательно, общий риск, обеспечивая при этом разумный уровень удобства ».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here