Android-Lücke erlaubt Bitcoin-Klau

13. August 2013, 14:08
14 Postings

Probleme bei Generierung von Zufallszahlen

Eine Lücke in Googles Betriebssystem Android könnte die Sicherheit von Bitcoin-Geldbörsen kompromittieren. Greift man mit bestimmten Apps auf sein eigenes Konto für die virtuelle Währung zu, so werden Transaktionen mit Hilfe von Zufallszahlen kryptografisch abgesichert.

Mangelnder Zufall

Viele Apps nutzen dafür einen in Android integrierten Generator, der über die Java-Klasse SecureRandom umgesetzt wird, wie Heise erklärt. Versendet man Bitcoins, wird der Vorgang mittels PGP verschlüsselt, die Transaktion selbst ist öffentlich einsehbar, so dass jedermann nachvollziehen kann, ob alles mit rechten Dingen zugegangen ist.

Die von Android ausgespuckten Zufallszahlen scheinen aber nicht immer wirklich "random" zu sein. Nutzer berichten, dass von den Bitcoin-Apps öfters die gleiche Zufallszahl bei mehreren Übertragungen verwendet wurde, weswegen die zur Verschlüsselung gehörende Signatur stets identisch war.

Bitcoin-Diebstahl möglich

Auf Basis der öffentlich ersichtlichen Informationen könnte damit der private Schlüssel des jeweiligen Inhabers einer digitalen Bitcoin-Geldbörse errechnet werden. Fremde User könnten damit erfolgreich Transaktionen im Namen des Nutzers zeichnen und ihm damit auch sein Wallet ausräumen.

Offenbar wurde diese Schwäche von Cyberkriminellen bereits genutzt. Bitcoins im Wert tausender Dollar dürften auf diesem Wege bereits den Besitzer gewechselt haben. Die Apps BitcoinSpinner, Blockchain.info, Bitcoin Wallet und Mycellium Wallet sollen sich auf den Zufallsgenerator von Android verlassen. Updates sollen das Problem bald beheben.

Wer sicher gehen will, kann der Empfehlung von Heise folgen und sich eine neue Bitcoin-Geldbörse anlegen, zu welcher der eigene Geldbestand übertragen werden kann. (red, derStandard.at, 13.08.2013)

Link

Heise

  • Mangelnder Zufall in der Zahlengenerierung ermöglicht den Klau von Bitcoins.

    Mangelnder Zufall in der Zahlengenerierung ermöglicht den Klau von Bitcoins.

Share if you care.