O Google confirmou uma falha no sistema Android, que pode permitir o roubo de bitcoins.
O engenheiro de segurança do Android, Alex Klyubin, publicou em seu blog os detalhes que causaram a vulnerabilidade no sistema.
“Nós identificamos que aplicações que usam o Java Cryptography Architecture (JCA) para a geração de chaves, acesso ou numeração randômica podem não receber valores seguramente fortes dos dispositivos Android devido a inicialização indevida do PRNG. Aplicações que utilizam o OpenSSL PRNG sem uma inicialização explícita no Android também está afetado”, disse Klyubin.
A falha foi descoberta no último domingo pelos desenvolvedores do bitcoin. A vulnerabilidade aparentemente ocorre em um componente do Android que gera números de segurança randômicos (PRNG).
Como o problema está na raiz do sistema, cada carteira digital do bitcoin gerada por um app Android pode ser afetada pela falha.
O site Ars Technica cita o caso de um roubo de 5.720 bitcoins na última semana devido a esta falha. Além disso, a Symantec também alertou que 360 mil apps podem sofrer ataques similares se utilizarem o PRNG do Android.
O Google recomenda que os desenvolvedores que utilizem o JCA para a geração de chaves devem atualizar seus apps para iniciar o PRNG com diferentes códigos. Além disso, sugere também que verifiquem as chaves que geram criptografia.
Klyubin também afirmou que a equipe do Android já criou pacotes de correção para assegurar que o OpenSSL PRNG do Android se inicie de forma correta.
Fonte: Revista Info
O engenheiro de segurança do Android, Alex Klyubin, publicou em seu blog os detalhes que causaram a vulnerabilidade no sistema.
“Nós identificamos que aplicações que usam o Java Cryptography Architecture (JCA) para a geração de chaves, acesso ou numeração randômica podem não receber valores seguramente fortes dos dispositivos Android devido a inicialização indevida do PRNG. Aplicações que utilizam o OpenSSL PRNG sem uma inicialização explícita no Android também está afetado”, disse Klyubin.
A falha foi descoberta no último domingo pelos desenvolvedores do bitcoin. A vulnerabilidade aparentemente ocorre em um componente do Android que gera números de segurança randômicos (PRNG).
Como o problema está na raiz do sistema, cada carteira digital do bitcoin gerada por um app Android pode ser afetada pela falha.
O site Ars Technica cita o caso de um roubo de 5.720 bitcoins na última semana devido a esta falha. Além disso, a Symantec também alertou que 360 mil apps podem sofrer ataques similares se utilizarem o PRNG do Android.
O Google recomenda que os desenvolvedores que utilizem o JCA para a geração de chaves devem atualizar seus apps para iniciar o PRNG com diferentes códigos. Além disso, sugere também que verifiquem as chaves que geram criptografia.
Klyubin também afirmou que a equipe do Android já criou pacotes de correção para assegurar que o OpenSSL PRNG do Android se inicie de forma correta.
Fonte: Revista Info
0 comentários:
Postar um comentário