一篇bitcoin.org上的文章警告使用Android錢包的比特幣(Bitcoin)擁有者一個嚴重的底層漏洞,可能會讓他們的錢包對小偷大開方便之門。
這篇文章表示「一個Android的底層元件」包含著讓Android比特幣錢包擁有者有被順手牽羊風險的漏洞。而比特幣(Bitcoin)錢包應用程式開發者Mike Hearn發文到比特幣開發者郵件群組表示,確切元件是Android所使用的Java class SecureRandom。
這樣的影響可能要比比特幣(Bitcoin)錢包來得更深遠的多。如果Mike的說法正確,那「所有」Android平台上所生成的私密金鑰在加密方面都很薄弱,需要加以「更新」,也就是用禮貌的方式來說需要「刪除並重新建立」。對於那些比特幣錢包使用者來說,這也表示會產生一個新地址,並將所有的錢送回給自己。
目前還沒有證據顯示這漏洞真的已經遭受攻擊,已經有好幾個比特幣使用者回報遭到竊取,可能跟這漏洞有關。因此,對於那些在行動設備上使用比特幣錢包的使用者,讓我們希望解決亂數產生問題的更新應用程式可以及時推出。關於受影響應用程式的詳情可以在bitcoin.org的部落格文章內看到。
至於這Android底層問題如何影響其他依賴加密的應用程式,和如何將根本解決修補程式推送到這令人頭痛的碎片化生態系也是非常值得關切。隨著越來越多應用程式和金錢有關,以及我們在行動設備上不斷增加的個人資料,這類性質的漏洞很引人注目,也非常吸引現今的網路犯罪份子。
@原文出處:Android – Bitcoin vulnerability – Exploit in the wild.
