Bitcoin, Android και vulnerabilities

Μετά την ανακοίνωση από πλευράς BitCoin με θέμα την… “ανασφάλεια” του αντίστοιχου πορτοφολιού σε περιβάλλον Android, η Google αποφάσισε να ερευνήσει το θέμα.

Το πρόβλημα είναι η “Γεννήτρια Ψευδο-Τυχαίων Αριθμών” του λειτουργικού (Pseudo-Random Number Generator) ένα συστατικό που επιτρέπει την δημιουργία ενός “σχεδόν” τυχαίου αριθμού που μπορεί να χρησιμοποιηθεί για την υπογραφή ή την δημιουργία κλειδιών κρυπτογράφησης.

Για να δουλέψει σωστά όμως απαιτείται μια “seed value” που θα καθορίσει το τυχαίο του παραγόμενου αριθμού, ενδυναμώνοντας ουσιαστικά την κρυπτογράφηση.

Οι εφαρμογές του Android όμως που χρησιμοποιούν κρυπτογράφηση μέσω Java (Java Cryptography Architecture) παράγουν “αδύναμες” τιμές λόγω μη σωστής χρήσης του PRNG.

Δυστυχώς, δεν επηρεάζεται μόνο το BitCoin από αυτό το πρόβλημα αλλά και άλλες εφαρμογές κρυπτογράφησης.

Η Google έδωσε οδηγίες για την σωστή χρήση του PRNG (κάτι που σημαίνει πως οι developers πρέπει να “διορθώσουν” τις εφαρμογές τους) αλλά και αντίστοιχο patch προς την Open Headset Alliance.

Αν το ανθρώπινο σώμα ήταν λειτουργικό, το δικό μου θα ήταν τα Windows Millennium...