1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Bitcoin-Diebstahl durch Android-Patzer

Dieses Thema im Forum "Handy - Navigation News" wurde erstellt von josef.13, 12. August 2013.

  1. josef.13
    Online

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.633
    Zustimmungen:
    15.222
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Ein Fehler in einem Zufallszahlengenerator von Android kompromittiert die Sicherheit von Bitcoin-Geldbörsen (Wallet), die mit bestimmten Apps genutzt wurden,

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    die Entwickler des Bitcoin Project. Unter bestimmten Umständen lässt sich dadurch der private Schlüssel des Wallet-Besitzers ermitteln, mit dem man die virtuelle Geldbörse ausräumen kann. Offenbar nutzen Online-Gauner diese Schwachstelle bereits für virtuelle Beutezüge mit realen Folgen aus.

    Zahlreiche Bitcoin-Apps verlassen sich auf die Zufallszahlen, die Googles Implementierung der

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    erzeugt. Diese Zufallszahlen spielen eine tragende Rolle bei den kryptografischen Verfahren, durch die Bitcoin-Transaktionen abgesichert sind: Verschickt man Bitcoins, signiert man diese Transaktion mit seinem privaten Schlüssel – ähnliche wie beim Versand signierter Mails mit PGP. Die Informationen über die Transaktion werden anschließend in die

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    aufgenommen. So kann sich jedermann davon überzeugen, dass der Versender der Bitcoins auch tatsächlich zu dieser Transaktion berechtigt war.

    Beim Signieren wird eine Zufallszahl genutzt, die unter Android unter bestimmten Umständen nicht so zufällig ist, wie sie sein sollte. In Bitcoin-Foren finden sich

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    darüber, dass Android-Apps für mehrere Transaktionen die gleiche Zufallszahl genutzt haben, wodurch auch die Signatur identisch war. Das ist fatal, weil sich so anhand öffentlicher Informationen der private Schlüssel des Besitzers der Bitcoin-Geldbörse (Wallet)

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    . Damit ist die Geldbörse kompromittiert; denn wer im Besitz des privaten Schlüssels ist, kann damit selbst Transaktionen signieren.

    Das ist kein theoretisches Angriffsszenario, die Schwachstelle wurden Berichten zufolge bereits dafür missbraucht, um Bitcoins im Wert von mehreren tausend US-Dollar abzuzwacken. Für die Betroffenen gibt es keine Möglichkeit, die Transaktion zu widerrufen und sich die virtuellen Münzen zurück zu holen.

    Betroffen sind Bitcoin-Nutzer, die ihren privaten Schlüssel auf einem Android-Smartphone oder -Tablet gespeichert und von dort aus Transaktionen durchgeführt haben. Anscheinend nutzen nicht alle Bitcoin-Apps die unzuverlässige Java-Klasse von Google. Bestätigt wurde die Schwachstelle bislang in Bitcoin Wallet, BitcoinSpinner, Blockchain.info und Mycellium Wallet. Für letztere App steht bei Google Play ein Update auf die ausgebesserte Version 0.6.5 bereit, Update für die anderen Programme sind bereits in Arbeit. Nicht betroffen sind Apps, die statt der Java-Klasse SecureRandom den nativen Zufallszahlengeneratoren des Linux-Kernels /dev/random benutzen.

    Wer nicht ausschließen kann, dass ein privater Schlüssel kompromittiert wurde, sollte sich mit einem sicheren Verfahren (etwa mit einem

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ) eine neue Bitcoin-Adresse generieren und dort seine virtuellen Münzen hinsenden.

    Quelle: heise
     
    #1
    Borko23 gefällt das.

Diese Seite empfehlen