新浪科技訊 香港時間8月16日消息, Google 的開發人員確認,Android系統中存在一個密碼漏洞,可能會在大量終端應用中導致嚴重的安全問題。這些應用主要與比特幣交易有關。
上週有報導稱,黑客從一個數字錢包中竊取了價值5720美元的比特幣。這一黑客攻擊正是利用了Android這一Java密碼架構的漏洞。 Google 信息安全工程師埃里克斯‧克柳賓(Alex Klyubin)在一篇博客中正式確認了Android的這一漏洞。克柳賓同時警告稱,除非開發者改變訪問偽隨機碼生成器的方式,否則其他應用也可能被攻擊。
他表示:“我們已經確認,由於底層偽隨機碼生成器不恰當的初始化,使用Java密碼架構來進行密鑰生成、簽名,或隨機碼生成的應用可能無法通過Android設備獲得足夠強的密碼值。如果應用在Android設備上直接調用系統提供的OpenSSL偽隨機碼生成器,而沒有進行明確的初始化,那麼也將受到影響。”
幾小時之前,賽門鐵克的信息安全研究員警告稱,數十萬Android應用都可能存在這一漏洞。根據賽門鐵克的統計,最多有36萬款應用依賴SecureRandom服務。這是一個由Java密碼架構提供的用於生成隨機數的程式服務。與此前報導不同,這一漏洞影響了所有版本的Android,而不僅僅是Android 4.2等少數幾個版本。
偽隨機碼生成器使計算機生成很長的數列,而這樣的數列是不可預測的。這是許多加密應用對系統的核心要求。這就像是擲骰子,最終出現的點數是不可預知的。偽隨機碼生成器生成的隨機數列可以確保,用於加密的密鑰或數字簽名數據不會被輕易獲得。
賽門鐵克的研究員表示,在近期的比特幣被竊事件中,受到攻擊的Android應用有可能使用了同一個數列對多筆交易簽名,但這一數列被應用認為是隨機的。報告稱:“由於交易在比特幣網絡中是公開的,攻擊者掃瞄了交易記錄,查找特定的交易,獲得了這一私有的密鑰,從而在用戶未授權的情況下從比特幣錢包中轉移了資金。”
Google 在博客中建議開發者升級所有使用Java密碼架構的應用,同時重新生成此前使用Java密碼架構接口生成的加密密鑰或其他隨機值。這些Java密碼架構接口包括SecureRandom、KeyGenerator、KeyPairGenerator、KeyAgreement和Signthature。 Google 同時提供了示範代碼。
Google 同時表示, Google 的開發者已向手機廠商發佈了補丁,但沒有說明這些升級將如何被安裝至終端用戶設備。 Google 在博客中強調了第三方開發者應當採取的措施。目前,已有至少4個比特幣錢包服務進行了升級,修複了這一漏洞。未來幾天中,預計大量應用都將進行同樣的升級。(張帆)
. Google 確認Android漏洞導致用戶比特幣被竊
http://digital1010.blogspot.com/2013/08/google-android.html
