Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT Ошиблись адресом: уязвимость в Blockchain стала причиной неправильных денежных переводов RSS

Ошиблись адресом: уязвимость в Blockchain стала причиной неправильных денежных переводов

Текущий рейтинг: 4.67 (проголосовало 6)
 Посетителей: 1092 | Просмотров: 1284 (сегодня 0)  Шрифт: - +

Один из самых популярных в мире криптографической валюты Биткоин кошельков Blockchain выпускает обновление своего Android-приложения после обнаружения критической уязвимости. Из-за неё пользователи отправляют денежные переводы не по тому адресу, по которому им нужно, без предупреждения об этом.

Уязвимость затрагивает приложение для Android на версиях 4.1 или более старых. Здесь используется незашифрованное соединение HTTP при доступе на сайт random.org для получения случайных чисел, необходимых для генерации частных ключей адресов Биткоин. С января random.org требует использования соединения HTTP и выдаёт ошибку при попытке зайти через HTTP. Результатом стало то, что уязвимые приложения генерировали ключи, соответствующие одному адресу 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F, независимо от задаваемого пользователем адреса.

*

В некоторых случаях генератор псевдослучайных чисел в Blockchain на Android не получал доступа к числам, которые должны встраиваться в скачиваемые с random.org случайные числа. Не сообщая об ошибке, приложение использовало 256-разрядное число от random.org как средство для генерации ключей, так что сайт был единственным поставщиком данных для генерации ключей.

Для генерации псевдослучайных чисел использовался программный интерфейс LinuxSecureRandom вместо более стандартного для Android-разработчиков SecureRandom. При этом у одних пользователей систем до Android 4.1 уязвимости проявляются, а у других нет.

Автор: Алексей Алтухов  •  Иcточник: arstechnica.com  •  Опубликована: 29.05.2015
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   Android, Blockchain.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.