Information ausblenden
Das Digital Eliteboard ist ein Kostenloses Forum. Wenn du alle Bereiche sehen möchtest oder Fragen hast, musst du dich zunächst Registrieren.

Jetzt Registrieren

Bitcoin-Diebstahl durch Android-Patzer

Dieses Thema im Forum "Handy - Navigation News" wurde erstellt von josef.13, 12. August 2013.

  1. josef.13
    Offline

    josef.13 Moderator Digital Eliteboard Team

    Registriert:
    1. Juli 2009
    Beiträge:
    17.222
    Zustimmungen:
    16.828
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Ein Fehler in einem Zufallszahlengenerator von Android kompromittiert die Sicherheit von Bitcoin-Geldbörsen (Wallet), die mit bestimmten Apps genutzt wurden, Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren die Entwickler des Bitcoin Project. Unter bestimmten Umständen lässt sich dadurch der private Schlüssel des Wallet-Besitzers ermitteln, mit dem man die virtuelle Geldbörse ausräumen kann. Offenbar nutzen Online-Gauner diese Schwachstelle bereits für virtuelle Beutezüge mit realen Folgen aus.

    Zahlreiche Bitcoin-Apps verlassen sich auf die Zufallszahlen, die Googles Implementierung der Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren erzeugt. Diese Zufallszahlen spielen eine tragende Rolle bei den kryptografischen Verfahren, durch die Bitcoin-Transaktionen abgesichert sind: Verschickt man Bitcoins, signiert man diese Transaktion mit seinem privaten Schlüssel – ähnliche wie beim Versand signierter Mails mit PGP. Die Informationen über die Transaktion werden anschließend in die Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren aufgenommen. So kann sich jedermann davon überzeugen, dass der Versender der Bitcoins auch tatsächlich zu dieser Transaktion berechtigt war.

    Beim Signieren wird eine Zufallszahl genutzt, die unter Android unter bestimmten Umständen nicht so zufällig ist, wie sie sein sollte. In Bitcoin-Foren finden sich Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren darüber, dass Android-Apps für mehrere Transaktionen die gleiche Zufallszahl genutzt haben, wodurch auch die Signatur identisch war. Das ist fatal, weil sich so anhand öffentlicher Informationen der private Schlüssel des Besitzers der Bitcoin-Geldbörse (Wallet) Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren. Damit ist die Geldbörse kompromittiert; denn wer im Besitz des privaten Schlüssels ist, kann damit selbst Transaktionen signieren.

    Das ist kein theoretisches Angriffsszenario, die Schwachstelle wurden Berichten zufolge bereits dafür missbraucht, um Bitcoins im Wert von mehreren tausend US-Dollar abzuzwacken. Für die Betroffenen gibt es keine Möglichkeit, die Transaktion zu widerrufen und sich die virtuellen Münzen zurück zu holen.

    Betroffen sind Bitcoin-Nutzer, die ihren privaten Schlüssel auf einem Android-Smartphone oder -Tablet gespeichert und von dort aus Transaktionen durchgeführt haben. Anscheinend nutzen nicht alle Bitcoin-Apps die unzuverlässige Java-Klasse von Google. Bestätigt wurde die Schwachstelle bislang in Bitcoin Wallet, BitcoinSpinner, Blockchain.info und Mycellium Wallet. Für letztere App steht bei Google Play ein Update auf die ausgebesserte Version 0.6.5 bereit, Update für die anderen Programme sind bereits in Arbeit. Nicht betroffen sind Apps, die statt der Java-Klasse SecureRandom den nativen Zufallszahlengeneratoren des Linux-Kernels /dev/random benutzen.

    Wer nicht ausschließen kann, dass ein privater Schlüssel kompromittiert wurde, sollte sich mit einem sicheren Verfahren (etwa mit einem Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren) eine neue Bitcoin-Adresse generieren und dort seine virtuellen Münzen hinsenden.

    Quelle: heise
     
    #1
    Borko23 gefällt das.

Direkt Antworten

Überprüfung:
Der Entwurf wurde gespeichert Der Entwurf wurde gelöscht

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.