パスワードを忘れた? アカウント作成
9799360 journal
日記

ko-zuの日記: Android上で生成したBitcoinウォレットに脆弱性

日記 by ko-zu

Androidの乱数生成器の問題によって、Android版BitCoinアプリで生成したウォレットは脆弱な秘密鍵を利用している可能性があるという。
http://bitcoin.org/en/alert/2013-08-11-android
新しいAndroid版アプリが公開されているが、過去に生成したウォレットそのものに脆弱性があるため、脆弱性のない新たなウォレットに送金して、古いウォレットの利用を停止することが推奨されている。

Java実装やライブラリの幾つかに、予想可能な乱数シードを生成してしまう可能性が指摘されている
http://armoredbarista.blogspot.jp/2013/03/randomly-failed-weaknesses-in-java.html
が、Androidの実装にも同様の問題が有ったということらしい。
具体的な脆弱性の情報が見当たらないので影響範囲はまだ不明だが、Debianのopensslに存在した弱い鍵を生成する脆弱性と同様に、Androidの乱数生成に依存した様々なアプリケーションに波及する可能性があるので、暗号を利用するAndroidアプリの開発者は今後の情報に注意しておいたほうがよさそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...