Android比特幣(Bitcoin)錢包有被順手牽羊風險的漏洞

地下經濟/美金/錢

一篇bitcoin.org上的文章警告使用Android錢包的比特幣(Bitcoin)擁有者一個嚴重的底層漏洞,可能會讓他們的錢包對小偷大開方便之門。

這篇文章表示「一個Android的底層元件」包含著讓Android比特幣錢包擁有者有被順手牽羊風險的漏洞。而比特幣(Bitcoin)錢包應用程式開發者Mike Hearn發文到比特幣開發者郵件群組表示,確切元件是Android所使用的Java class SecureRandom

這樣的影響可能要比比特幣(Bitcoin)錢包來得更深遠的多。如果Mike的說法正確,那「所有」Android平台上所生成的私密金鑰在加密方面都很薄弱,需要加以「更新」,也就是用禮貌的方式來說需要「刪除並重新建立」。對於那些比特幣錢包使用者來說,這也表示會產生一個新地址,並將所有的錢送回給自己。

目前還沒有證據顯示這漏洞真的已經遭受攻擊,已經有好幾個比特幣使用者回報遭到竊取,可能跟這漏洞有關。因此,對於那些在行動設備上使用比特幣錢包的使用者,讓我們希望解決亂數產生問題的更新應用程式可以及時推出。關於受影響應用程式的詳情可以在bitcoin.org的部落格文章內看到。

至於這Android底層問題如何影響其他依賴加密的應用程式,和如何將根本解決修補程式推送到這令人頭痛的碎片化生態系也是非常值得關切。隨著越來越多應用程式和金錢有關,以及我們在行動設備上不斷增加的個人資料,這類性質的漏洞很引人注目,也非常吸引現今的網路犯罪份子。

 

@原文出處:Android – Bitcoin vulnerability – Exploit in the wild.
2013/07/PCCfans540.gif

遊戲網路植入比特幣採礦程式到使用者電腦上

幾個星期前,趨勢科技指出比特幣(Bitcoin)採礦程式可能會利用GPU(圖形處理器),出現新的威脅趨勢。看樣子這已經發生了,以有點曲折的方式。

電子競技聯賽ESEA最近被迫承認,有員工在未經授權下將比特幣採礦程式派送給使用者,強迫這些電腦開採比特幣供私人使用。他們聲稱,這代碼是為了內部測試而產生,原本是要評估是否能夠成為他們軟體客戶端的新功能。 ESEA自己將這醜聞描述成一場「大失敗」。

這事件本身是很耐人尋味的。合法的軟體服務被用來派送未授權軟體到最終使用者的電腦,就跟最近發生在韓國的事件一樣。不過它所植入的程式也並不尋常:這是個比特幣開採程式,而且可以利用使用者的GPU運算能力。

這很可能是第一次真正使用GPU的事件,但我們認為這也不會是最後一次。它對使用者所造成的損失可能不會很大,卻還是真實存在:增加額外的電力和系統損耗。此外,受影響的使用者也會發現網路頻寬使用的增加,有效的採礦程式會用到更多的頻寬。

繼續閱讀