Krypto-Katastrophe in Android-App Blockchain

Schlampige Kryptografie ist der Grund für den Verlust von Bitcoins einer ungenannten Zahl von Blockchain-Nutzern.

Blockchain, eine der am meisten genutzten Bitcoin-Wallets, hat ein Update für seine Android-App herausgegeben, das die Situation bereinigt.

„In seltenen Fällen können einige Versionen des Betriebssystems Android nicht ausreichend Entropie gewährleisten, und wenn die Ersatzquelle ebenfalls ausfällt, könnten einige Anwender dieselben Adressen generieren“, schreibt die Kommunikationsmanagerin von Blockchain, Alyson Margaret. Soweit wir wissen, führte der Bug dazu, dass eine bestimmte Adresse mehrmals generiert wurde, was für eine Handvoll Nutzer zum Verlust von Mitteln geführt hat.“

In der Infoschrift von Blockchain heißt es, dass das Problem auf Bitcoin-Adressen begrenzt sei, die von Versionen der Wallet generiert wurden, die unter Android 4.1, oder auch Jelly Bean, laufen. Die Nutzer sind aufgerufen, die neuste Version der Blockchain-App für Android aus Google Play zu laden.

In einem Thread in dem Bitcoin-Bereich meine subreddits schiebt ein Anwender die Schuld an der Schwachstelle auf den Generator pseudozufälliger Zahlen (PRNG) von Blockchain mit dem Namen RandomOrgGenerator.

Der Besucher, der unter dem Pseudonym murbul schreibt, erklärt, dass Blockchain eine Linux SecureRandom Klasse verwendet, die ihren Zufallszahlengenerator mit Daten aus random.org säht, die, wenn sie mit Entropie unter Verwendung von XOR kombiniert werden, eine zufällige Zahl liefert. Wenn das nicht funktioniert, wie es bei älteren Android-Versionen der Fall ist, erstellt die Klasse die Zahl lediglich auf der Grundlage der Daten von random.org.

Gekrönt wird das Ganze von der Tatsache, dass die Aufrufe von random.org über HTTP gemacht wurden, obgleich random.org seit dem 4. Januar ausschließlich HTTPS fordert.

„Seit diesem Datum war die Entropie also tatsächlich eine Fehlermeldung (in Form von Bytes), anstelle der erwarteten 256-stufigen Zahl“, heißt es in der Mitteilung von murbul. „Unter Verwendung dieses Seeds erstellt SecureRandom den privaten Schlüssel für die Adresse 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F 100% der Zeit. Autsch. Das ist ungefähr zu dem Zeitpunkt, zu dem diese Adresse erstmals auftaucht, daher stimmen auch die Zeiten überein.“

Die gute Nachricht ist dabei, dass der Bug nur eine relativ geringe Zahl von Android-Geräten unter der Version 4.1 betrifft, auf denen zudem Blockchain installiert ist.

Blockchain erklärte, dass Nutzer, die von diesem Problem betroffen sind, ihre Bitcoins an neue Adressen schicken sollen, die von der neuen Version der Android-App generiert wurden, welche wiederum auf einer neuen Version dieses Betriebssystems läuft. Zudem empfehlen sie, die problematischen Adressen der Wallet zu archivieren, um eine wiederholte Verwendung auszuschließen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.