Schwache Zufallszahlen in JCA schuld an Bitcoin-Diebstahl in Android-Apps

Eric Herrmann

Am 11. August gab Bitcoin bekannt, dass eine Sicherheitslücke in Android verantwortlich wäre für den Diebstahl von Bitcoin-Konten (Wallets), die mit Android-Apps erstellt wurden. Während in der wenige Tage alten Ankündigung des digitalen Geldinstituts keine technsichen Details zu dem Fehler bekannt wurden, gab man im Android-Dev-Blog nun offiziell bekannt, dass der Fehler tatsächlich von der Seite des mobilen Betriebssystems kam. Genau genommen lag er in einer lückenhaft implementierten Java Cryptography Architecture (JCA) zur Schlüssel-Generierung. Diese verwendete einen schwachen Pseudozufallszahlengenerator (PRNG), sodass sich der Kryptographieschlüssel nach wenigen Versuchen mit Brute-Force-Attacken erraten ließen und Konten freigelegt wurden. Auf diese Art kamen rund 56 Bitcoins auf das Konto des vermeintlichen Hackers.

In der Foren-Diskussion kamen die Mitglieder zu dem Schluss, dass es sich um einen Exploit gehandelt haben muss, mit dem man verlorene Bitcoin-Keys erraten konnte. Dies machte sich jemand zu nutze, und so kamen auf diversen Konten jeweils unterschiedlich große Beträge Bitcoins abhanden. Doch der auf diese Art freigelegte Exploit offenbarte ein Problem, das nicht nur Bitcoin-Apps für Android betrifft.

In sämtlichen Android-Apps, in denen JCA für die Key-Erstellung, Signierung oder Zufallszahlerzeugung verwendet werden, sollten Entwickler ihre Anwendungen so updaten, dass sie PRNG mit der Entropie von /dev/urandom oder /dev/random initialisieren, wie es im Blog-Post beschrieben wird. Außerdem sollten Entwickler bisher verwendete Kryptographieschlüssel durch neue ersetzen. Bitcoin-User, die ihre App nicht updaten können, sollen ihr Geld auf ein neues Konto übertragen, das mit einer sicheren Anwendung erzeugt wurde. Updates gab es laut bitcoin.org bisher für Bitcoin Wallet, BitcoinSpinner, Mycelium Bitcoin Wallet und blockchain.info (Stand: 11. August).

Geschrieben von
Eric Herrmann
Eric Herrmann
Eric Herrmann war von 2012 bis 2013 als Redakteur bei Software & Support Media tätig. Sein Themenschwerpunkt liegt bei Webtechnologien, insbesondere PHP und JavaScript. Vor seiner Zeit als Online-Redakteur hat er Wissenschaftsjournalismus (B. A.) an der Hochschule Darmstadt studiert.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.