Google bestätigt unsichere Bitcoin-Geldbörsen für Android

Der Fehler liegt im Zufallszahlengenerator von Android, der unkorrekt initialisiert. Daraus können sich zu schwache kryptographische Werte ergeben. Mehrere Anbieter digitaler Geldbörsen haben ihre Apps bereits aktualisiert, um mögliche Diebstähle zu verhindern.

bitcoinGoogle hat eine Schwachstelle im Zufallszahlengenerator von Android bestätigt, aufgrund derer Diebstähle der virtuellen Währung Bitcoin aus digitalen Geldbörsen möglich sind. In der letzten Woche warnten Bitcoin-Entwickler vor dieser Sicherheitslücke, von der so gut wie jede von einer Android-App erstellte digitale Bitcoin-Geldbörse betroffen sei. Mehrere Anbieter reagierten daraufhin umgehend und aktualisierten ihre Apps, um eine drohende Welle von Diebstählen zu verhindern.

Im offiziellen Android-Entwicklerblog nahm inzwischen das Android-Sicherheitsteam zur Schwachstelle und ihrer Grundursache Stellung. „Wir haben jetzt festgestellt, dass Anwendungen unter Android, die die Java Cryptography Architecture (JCA) für die Generierung von Schlüsseln, die Signierung oder die Erzeugung von Zufallszahlen benutzen, aufgrund einer unkorrekten Initialisierung des zugrundeliegenden Pseudo-Zufallszahlen-Generators unter Umständen keine kryptographisch starken Werte erhalten“, schreibt Android-Sicherheitsspezialist Alex Klyubin.

Entwicklern, die den systemeigenen Zufallszahlengenrator in dieser Weise einsetzten, empfiehlt er die Erzeugung neuer Werte aus /dev/urandom oder /dev/random. In seinem Blogeintrag veröffentlichte er dazu ein Implementationsbeispiel. Google habe außerdem Patches entwickelt, um sicherzustellen, dass Androids OpenSSL-Zufallszahlengenerator korrekt initialisiert – und diese Fehlerbehebungen seien auch bereits an die Herstellungspartner der OHA (Open Handset Alliance) übermittelt worden.

Die dezentralisierte Währung Bitcoin, die 2009 eingeführt wurde, verspricht Unabhängigkeit von Kreditkartenfirmen und Banken, kam aber häufig durch Diebstähle, Hacks und Betrugsversuche ins Gerede. Bei einem virtuellen Raubüberfall auf die Wechselbörse BitFloor erbeuteten die Täter vergangenes Jahr fast eine Viertelmillion Dollar. Behörden können Zahlungen nicht nachvollziehen, was der Privatsphäre dienlich ist, aber auch Missbrauch ermöglicht.

[mit Material von Chris Duckett, ZDNet.com]

Themenseiten: Android, Bitcoin Foundation, E-Commerce, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google bestätigt unsichere Bitcoin-Geldbörsen für Android

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *