W niedzielę developerzy Bitcoina podali informację, że cyfrowe portfele oparte na technologii Android podatne są na kradzieże. Zgodnie zamieszczoną na tym blogu informacją, komponent Androida odpowiadający za generowanie losowych numerów stanowi zagrożenie dla wygenerowanych dotąd portfeli. Z informacji wynika też, że problem dotyczy wszystkich portfeli stworzonych za pośrednictwem aplikacji Androida, ponieważ usterka zakopana jest w samym systemie. Wyjątkiem są aplikacje, w których użytkownik nie ma wpływu na klucze prywatne- są to np. aplikacje Coinbase czy MtGox, w przypadku których klucze prywatne są generowane poza telefonem.

Co się stało?

Niedawno dowiedzieliśmy się, że element w Androidzie odpowiedzialny za generowanie bezpiecznych liczb losowych zawiera krytyczne luki, które powodują, że wszystkie portfele na Androida są podatne na kradzież. Ponieważ problem leży w samym Androidzie ma wpływ na Ciebie, jeśli masz dowolny portfel na Androidzie. Niekompletna lista aplikacji to: Bitcoin Walletblockchain.info wallet,BitcoinSpinner i Mycelium Wallet. Nie dotyczy to aplikacji w których nie kontrolujesz kluczy prywatnych. Na przykład wymiany takie jak Coinbase, albo Mt Gox [Bitcurex] nie są w żaden sposób narażone, ponieważ plucze prywatne nie są generowane na twoim telefonie z Androidem.

Co zostało zrobione?

  • Bitcoin Wallet: Aktualizację do wersji 3.15 można zainstalować w Google Play albo Google Code. Rotacja kluczy zostanie przeprowadzona automatycznie po aktualizacji. Stare adresy zostaną oznaczone jako niebezpieczne w książce adresowej. Będziesz musiał zrobić nową kopię zapasową portfela.
  • BitcoinSpinner: Aktualizację do wersji 0.8.3b można zainstalować w Google Play albo Google Code. Przy starcie wyświetli się komunikat z informacją jak należy kontynuować.
  • Mycelium Wallet: Aktualizację do wersji 0.7.0 można zainstalować w Google Play albo mycelium.com. Kreator poprowadzi Cię przez proces przenoszenia Bitcoinów na nowo wygenerowane adresy i umieści stare klucze w archiwum.
  • blockchain.info: Aktualizację do wersji 3.54 można zainstalować z Google Play. Wersja 3.54 i kolejne zawierają automatyczny przewodnik rotacji kluczy. Wystarczy zwyczajnie zaktualizować program do najnowszej wersji i podążać za wskazówkami wyświetlanymi na ekranie. Prosimy o zrobienie nowej kopii zapasowej portfela po zakończeniu całego procesu.
Treść sponsorowana:

Co powinieneś zrobić?

Aby ponownie zabezpieczyć istniejące portfele niezbędna jest zmiana klucza. Wymaga to stworzenia nowego adresu przy pomocy naprawionego generatora liczb losowych, a następnie przesłanie posiadanych środków z powrotem do swojego portfela. Jeśli posiadasz portfel na Androidzie zalecamy zaktualizowanie go do najnowszej wersji dostępnej w Sklepie Play tak szybko jak to możliwe. Jeśli twój portfel jest w obrocie, będziesz musiał skontaktować się z osobą która przetrzymuje adresy wygenerowane przez twój telefon i dać mu nowe.

Jeśli nie potrafisz zaktualizować swojej aplikacji, alternatywnie możesz przesłać swoje Bitcoiny do portfela na swoim komputerze, do czasu kiedy aplikacja zostanie zaktualizowana. Bądź pewien, że nie wyślesz Bitcoinów na stary niebezpieczny adres.

Ostatnia Aktualizacja: Wtorek 13 sierpnia 13:51:00 UTC 2013

Algorytm odpowiadający za podpisy elekronicze i oparty na krzywych eliptycznych działa w trzech krokach: Transakcja, prywatny klucz podpisującego oraz losowy numer. Algorytm wylicza dwie wartości: wartość R oraz warość S. Wartość S wyliczana jest na zasadzie K-1 (Z+RD). Z to hash wiadomości,  K to losowy numer, a D, prywatny klucz. R zależne jest od K. Jeśli więc właściciel aplikacji wyśle dwie transakcje z tym samym numerem losowym, można będzie wydobyć dwie wartości S z dwóch podpisów, odjąć je, by usunąć czynnik RD, a wtedy zdobycie klucza prywatnego stanie się jedynie kwestią odpowiedniego dzielenia. Dokładne wyjaśnienie znajduje się tutaj.

Zabezpieczenie portfeli obejmuje rotację kluczy. To oznacza, że po każdej wysłanej transakcji, adres powinien zostać oczyszczony z funduszy, a te przeniesione na nowy, nieużywany dotąd adres.

_______________________________________
Niektóre wydatki takie jak opłacenie serwera i domeny są niezbędne w celu funkcjonowania strony. Dotacje od czytelników pomogą w pozyskiwaniu contentu i realizacji pomysłów związanych ze stroną. Dodatkowe środki pokryją koszty wyjazdów na konferencje, zakwaterowania i zakupu niezbędnego sprzętu takiego jak kamera i mikrofon umożliwiający przeprowadzanie wywiadów. Możesz nam pomóc przekazując dotację Więcej>>