News

Krypto-Katastrophe in Android-App Blockchain

Schlampige Kryptografie ist der Grund für den Verlust von Bitcoins einer ungenannten Zahl von Blockchain-Nutzern.

Blockchain, eine der am meisten genutzten Bitcoin-Wallets, hat ein Update für seine Android-App herausgegeben, das die Situation bereinigt.

„In seltenen Fällen können einige Versionen des Betriebssystems Android nicht ausreichend Entropie gewährleisten, und wenn die Ersatzquelle ebenfalls ausfällt, könnten einige Anwender dieselben Adressen generieren“, schreibt die Kommunikationsmanagerin von Blockchain, Alyson Margaret. Soweit wir wissen, führte der Bug dazu, dass eine bestimmte Adresse mehrmals generiert wurde, was für eine Handvoll Nutzer zum Verlust von Mitteln geführt hat.“

In der Infoschrift von Blockchain heißt es, dass das Problem auf Bitcoin-Adressen begrenzt sei, die von Versionen der Wallet generiert wurden, die unter Android 4.1, oder auch Jelly Bean, laufen. Die Nutzer sind aufgerufen, die neuste Version der Blockchain-App für Android aus Google Play zu laden.

In einem Thread in dem Bitcoin-Bereich meine subreddits schiebt ein Anwender die Schuld an der Schwachstelle auf den Generator pseudozufälliger Zahlen (PRNG) von Blockchain mit dem Namen RandomOrgGenerator.

Der Besucher, der unter dem Pseudonym murbul schreibt, erklärt, dass Blockchain eine Linux SecureRandom Klasse verwendet, die ihren Zufallszahlengenerator mit Daten aus random.org säht, die, wenn sie mit Entropie unter Verwendung von XOR kombiniert werden, eine zufällige Zahl liefert. Wenn das nicht funktioniert, wie es bei älteren Android-Versionen der Fall ist, erstellt die Klasse die Zahl lediglich auf der Grundlage der Daten von random.org.

Gekrönt wird das Ganze von der Tatsache, dass die Aufrufe von random.org über HTTP gemacht wurden, obgleich random.org seit dem 4. Januar ausschließlich HTTPS fordert.

„Seit diesem Datum war die Entropie also tatsächlich eine Fehlermeldung (in Form von Bytes), anstelle der erwarteten 256-stufigen Zahl“, heißt es in der Mitteilung von murbul. „Unter Verwendung dieses Seeds erstellt SecureRandom den privaten Schlüssel für die Adresse 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F 100% der Zeit. Autsch. Das ist ungefähr zu dem Zeitpunkt, zu dem diese Adresse erstmals auftaucht, daher stimmen auch die Zeiten überein.“

Die gute Nachricht ist dabei, dass der Bug nur eine relativ geringe Zahl von Android-Geräten unter der Version 4.1 betrifft, auf denen zudem Blockchain installiert ist.

Blockchain erklärte, dass Nutzer, die von diesem Problem betroffen sind, ihre Bitcoins an neue Adressen schicken sollen, die von der neuen Version der Android-App generiert wurden, welche wiederum auf einer neuen Version dieses Betriebssystems läuft. Zudem empfehlen sie, die problematischen Adressen der Wallet zu archivieren, um eine wiederholte Verwendung auszuschließen.

Quelle: Threatpost

Krypto-Katastrophe in Android-App Blockchain

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach