lunes, 12 de agosto de 2013

Vulnerabilidad en Android permite el robo del monedero Bitcoin

Una vez más sale a luz un problema de seguridad relacionado con la moneda virtual Bitcoin, en esta ocasión se ha descubierto una vulnerabilidad en Android que afecta a diversos monederos Bitcoin bajo este sistema operativo y  que puede permitir su robo

Los desarrolladores de Bitcoin.org han publicado una alerta en la que recomiendan a todos los poseedores de Bitcoins que sean usuarios de monederos Android actualizar a nuevas versiones de su monedero tan pronto estén disponibles.

Son múltiples sistemas monedero, como Bitcoin Wallet, blockchain.info o BitcoinSpinner, los que preparan actualizaciones para corregir el fallo anunciado, que reside en la forma en que Android genera números aleatorios. Por su parte Mycelium Wallet ya ha publicado la versión 6.5, que soluciona este problema.

Dado que el problema reside en el propio Android el error afecta a cualquier monedero generado por una aplicación. Aplicaciones en las que el sistema no controla las claves privadas no se ven afectadas. Por ejemplo, las aplicaciones Coinbase o Mt Gox no se ven afectadas porque las llaves privadas no se generan en el teléfono Android.

Bitcoin Wallet ha publicado una corrección en fase beta y una descripción del problema según el cual todo reside en el uso de la clase Android SecureRandom que tiene múltiples y graves fallos que hacen que su uso sea inútil para propósitos criptográficos. Todo parece indicar que el generador de números aleatorios produce números no todo lo aleatorios que deberían ser.

El problema tiene otras implicaciones, que pueden incomodar al usuario, pues es obligado a generar nuevas claves y una nueva dirección de Bitcoin, y enviar el dinero del antiguo monedero al nuevo. Tras ello será necesario informar de nuestra nueva dirección a los usuarios que tuvieran nuestra dirección almacenada. Por fortuna, algunas aplicaciones como Bitcoin Wallet harán todo de forma automática.

También se ha informado que en algunos casos (como con el monedero de blockchain.info) los monederos de equipos de sobremesa o iPhone también pueden verse afectados si se han realizado pagos desde un dispositivo Android.

Más información:

Android Security Vulnerability
http://bitcoin.org/en/alert/2013-08-11-android

Critical Vulnerability Found In Android Wallets
http://bitcoinmagazine.com/critical-vulnerability-found-in-android-wallets/

IMPORTANT: Android key rotation
https://bitcointalk.org/index.php?topic=271846.0


Antonio Ropero
ropero@hispasec.com
Twitter: @aropero


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017