HACK: Android Verschlüsselung ist unsicher

Nachdem Anfang der Woche News zu unauthorisierten Bitcoin Abbuchungen von einem Android Wallet umhergingen, scheint das Android Security Team nun die Schwachstelle für diesen Exploit gefunden zu haben. Demnach soll die Library „Java Cryptography Architecture“ JCA schlicht zu schwache Random Numbers zu generieren. In diesem speziellen Fall, wurden Bitcoins im Wert von 5000 US Dollar entwendet.

1327173612_android-umbrella

Laut  Android Security Team soll hieran vor allem der Pseudo Random Number Generator – kurz PRNG –  schuld sein. Dieser liefert zwar augenscheinlich zufällige Zahlen an den jeweiligen Prozess zurück, wenn jedoch die gleichen Ausgangswerte genutzt werden, kommt der selbe Zahlenstring dabei rum. Dies resultiert dann in einem kleinen Zufallszahlen-Spektrum, was Brute Force Angreifern leichtes Spiel macht.

Betroffen ist hier nicht nur das Bitcoin Wallet. Sämtliche Apps die auf dem PRNG OpenSSL Service basieren, sind mit dieser Schwachstelle attackierbar. Google hat Sicherheitspatches bereitgestellt, die nun in zukünftige ROMs eingebaut werden können.

Kommentar verfassen

Blog Top Liste - by TopBlogs.de Blogverzeichnis - Blog Verzeichnis bloggerei.de