Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/08/2013
Vulnerabilitat en Android permet el robatori del portamonedes Bitcoin
Una vegada més ix a llum un problema de seguretat relacionat amb la moneda virtual Bitcoin, en esta ocasió s’ha descobert una vulnerabilitat en Android que afecta diversos moneders Bitcoin davall este sistema operatiu i que pot permetre'n el robatori.
Els desenvolupadors de Bitcoin.org han publicat una alerta en què recomanen a tots els posseïdors de Bitcoins que siguen usuaris de moneders Android actualitzar a noves versions del seu portamonedes tan prompte com estiguen disponible.
Són múltiples els sistemes portamonedes, com Bitcoin Wallet, blockchain.info o BitcoinSpinner, que preparen actualitzacions per a corregir la fallada anunciada, que residix en la forma en què Android genera nombres aleatoris. Per la seua banda Mycelium Wallet ja ha publicat la versió 6.5, que soluciona este problema.
Atés que el problema residix en el mateix Android, l’error afecta qualsevol portamonedes generat per una aplicació. Les aplicacions en què el sistema no controla les claus privades no hi estan afectades; per exemple, les aplicacions Coinbase o Mt Gox no es veuen afectades, perquè les claus privades no es generen en el telèfon Android.
Bitcoin Wallet ha publicat una correcció en fase beta i una descripció del problema segons el qual tot residix en l’ús de la classe Android SecureRandom, que té múltiples i greus fallades que fan que el seu ús siga inútil per a propòsits criptogràfics. Tot pareix indicar que el generador de nombres aleatoris produïx nombres no tan aleatoris com haurien de ser.
El problema té altres implicacions que poden incomodar l’usuari, perquè es veu obligat a generar noves claus i una nova adreça de Bitcoin, i enviar els diners de l’antic portamonedes al nou. Després d’això caldrà informar de la nostra nova adreça els usuaris que tingueren la vella emmagatzemada. Per fortuna, algunes aplicacions, com Bitcoin Wallet, faran tot el procés de forma automàtica.
També s’ha informat que en alguns casos (com amb el portamonedes de blockchain.info) els moneders d’equips de sobretaula o iPhone també s'hi poden veure afectats, si s’han efectuat pagaments des d’un dispositiu Android.