Компанія Google розповіла про "діру" в Android
IT-гігант Google підтвердив присутність вразливості в Android, за допомогою якої можна викрадати цифрові гаманці Bitcoin. Інженер з безпеки Android Алекс Клюбін у середу виклав на ресурсах Google відомості про причини вразливості.
"Ми виявили, що додатки, які використовують Java Cryptography Architecture (JCA) для генерації ключів, підписів або генерації випадкових чисел, не завжди отримують криптографічно стійкі значення на Android-пристроях, що відбувається через невірну реалізацію технології PRNG. Додатки, які безпосередньо використовують OpenSSL PRNG без ініціалізації механізму Android теж вразливі", - вказав програміст.
Зазначимо, що серйозна вразливість була виявлена у неділю низкою Bitcoin-розробників. Проблема в безпеці виникала в частині генерації випадкових чисел. Оскільки "діра" була прихована у самій платформі, то вона виявилася небезпечною для всіх Bitcoin-додатків, написаних для цієї ОС.
За даними антивірусного виробника Symantec, внаслідок аналогічної вразливості в Android SecureRandom-компоненті можуть бути вразливі і близько 360 тисяч інших додатків. Програмісти вказують, що низка bitcoin-додатків користується цією функцією не лише для захисту гаманців, але і для генерації чисел-ідентифікаторів транзакцій, що дозволяє підробляти платіжні операції у Bitcoin.
Нагадаємо, що на початку серпня Еліот Кембер, британський IT-спеціаліст, звинуватив компанію Google у недбалому поводженні з користувацькими паролями, що зберігаються браузером Chrome.
Нагадаємо, що у липні вперше віртуальна валюта Bitcoin була оголошена поза законом.
