Cryptografisch Androidlek treft 320.000 apps
Google heeft bevestigd dat het Android besturingssysteem een kwetsbaarheid in een cryptografische functie bevat waardoor de afgelopen dagen voor duizenden dollars aan Bitcoins zijn gestolen. Het probleem speelt echter niet alleen bij apps waarmee gebruikers hun Bitcoins kunnen beheren, maar werd daar wel het eerste opgemerkt. Bitcoin gebruikt publieke/privésleutel cryptografie om Bitcointransacties te signeren.
Voor Bitcointransacties worden Bitcoinadressen gebruikt, een verzameling alfanumerieke tekens die als bestemming voor een betaling via Bitcoin dienen. De veiligheid van het systeem is afhankelijk dat elk adres een eigen privésleutel heeft die alleen bij de eigenaar van het adres bekend is.
Als een aanvaller toegang tot de privésleutels van een adres krijgt kan hij alle Bitcoins uitgeven die naar dit adres worden gestuurd. Deze week werd van verschillende gebruikers de privésleutel achterhaald, waarna voor zo'n 5700 dollar aan Bitcoins werd gestolen.
Implementatie
Al gauw werd gesteld dat het probleem zich in de Android implementatie van de Java SecureRandom getallengenerator bevindt. SecureRandom genereert cryptografische sterke willekeurige getallen. De implementatie op Android blijkt een probleem te bevatten waardoor het mogelijk is om de privésleutel te achterhalen en geld uit de portemonnee van Bitcoingebruikers te stelen.
"We hebben nu vastgesteld dat applicaties die de Java Cryptography Architecture (JCA) gebruiken voor het genereren van sleutels, signeren of het genereren van willekeurige getallen op Androidtoestellen geen voldoende sterke cryptografische waardes ontvangen door het verkeerd initialiseren van de onderliggende pseudorandom number generator (PRNG)", schrijft Android security engineer Alex Klyubin op het Android Developers blog.
Veel meer applicaties
Ontwikkelaars die de JCA gebruiken krijgen het advies om hun applicaties te updaten en de PRNG op een andere manier te initialiseren zodat er wel voldoende sterke getallen worden gegenereerd. Verschillende van de getroffen Android Bitcoin wallets hebben inmiddels updates uitgebracht.
Het probleem speelt echter bij veel meer applicaties dan alleen de getroffen Android Bitcoin wallets. Anti-virusbedrijf Symantec ontdekte 360.000 applicaties die SecureRandom gebruiken en dat 320.000 applicaties dit op dezelfde manier doen als de kwetsbare Bitcoin wallets.
Update: het gaat niet om alfanumerieke getallen maar tekens
Ik begrijp overigens niet waarom Google het wiel opnieuw heeft zitten uitvinden met een eigen implementatie van een nondeterministisch geseede PRNG terwijl de kernel het pseudo-device /dev/urandom aanbiedt dat precies hetzelfde doet en tot in den treure getest is door de linux kernel developers.
Ik begrijp overigens niet waarom Google het wiel opnieuw heeft zitten uitvinden met een eigen implementatie van een nondeterministisch geseede PRNG terwijl de kernel het pseudo-device /dev/urandom aanbiedt dat precies hetzelfde doet en tot in den treure getest is door de linux kernel developers.
Klopt, het gaat om adressen maar niet om getallen; getallen zijn per definitie numeriek en daarom bestaan alfanumerieke getallen niet.
Nee, want je kunt /dev/urandom niet seeden. De PRNG die achter het pseudo-device zit wordt automatisch en herhaaldelijk geseed met echte (nondeterministische) willekeurige getallen die geëxtraheerd worden uit toetsenbord- en muisbewegingen, seektimes van harddisks enz.
(Ik ben dezelfde Anoniem die de eerste reactie schreef.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.