Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Segurança
Sexta - 16 de Agosto de 2013 às 08:35

    Imprimir


A Google está distribuindo correções para uma falha de criptografia do sistema Android que podem afetar centenas de milhares de aplicações. Os patches foram entregues a parceiros que pertencem à Open Handset Alliance, um grupo de negócios dedicado ao desenvolvimento do Android, segundo escreveu Alex Klyubin, um engenheiro de segurança do Android.

A falha tornou-se conhecida rapidamente depois que um grupo de desenvolvimento de Bitcoin avisou esta semana que bitcoins armazenados em alguns clientes de software Android estavam vulneráveis a roubo. 

Um post num forum popular de Bitcoin recebeu vários posts de usuários que tinham sido vítimas de roubo, tendo seu dinheiro desviado para um endereço que já tinha captado pelo menos 55,82 bitcoins, avaliados em 6,2 mil dólares pela cotação de mercado desta quinta-feira.

Pelo menos quatro aplicativos Android Bitcoin - Bitcoin Wallet, Blockchain, Mycelium Bitcoin Wallet e BitcoinSpinner - foram consertados um pouco antes do Google liberar o patch. A Symantec identificou pelo menos 360 mil outras aplicações Android que utilizavam o componente afetado, no mesmo estilo que as aplicações de software para Bitcoin.

As aplicações afetadas são aquelas que utilizam o recurso PRNG (pseudorandom number generator), que permite gerar uma sequência de números semi-aleatórios, ou as que "diretamente invocam o OpenSSL PRNG provido pelo sistema sem uma inicialização explícita do Android", disse Klyubin.

Números randômicos, ou aleatórios, são usados em parte para gerar chaves de segurança criptográfica e outros processos de criptografia. Em alguns casos, os números não são "valores fortes do ponto de vista criptográfico", diz Klyubin. O especialista alerta aos desenvolvedores  a "avaliar se precisam gerar novas chaves criptográficas ou outros números aleatórios que tenham sido criados antes do patch ser aplicado". 

No caso dos clientes Bitcoin, os números aleatórios são usados para criar identidades (ID) de transações que dão entrada no livro-caixa público que registra as transações com Bitcoin. Se por acaso o mesmo número aleatório for usado em diferentes transações associadas a um mesmo endereço Bitcoin, ele poderia permitir a um invasor descobrir qual é a chave privada que permite se apossar da moeda digital ali armazenada.





Fonte: IDGNOW

Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/2934/visualizar/