Разработчики Bitcoin-приложений для платформы Android обнаружили критическую уязвимость в компоненте, который осуществляет генерацию случайных чисел в этой операционной системе. Оказалось, что ГСЧ работает не совсем корректно и «случайные» числа имеют определенные закономерности. Скомпрометированными можно считать все адреса/кошельки Bitcoin, сгенерированные под операционной системой Android.
На сегодняшний день под Android выпущен ряд мобильных приложений, где могут быть сгенерированы кошельки:
- Bitcoin Wallet;
- Blockchain.info;
- BitcoinSpinner;
- Mycelium Wallet;
- и другие.
Для всех вышеперечисленных программ сейчас готовятся обновления, а для Mycelium Wallet уже выпущена новая версия 0.6.5, которую можно скачать с Google Play или официального сайта. Пользователям рекомендуется сгенерировать новые адреса вместо старых — и перевести туда средства.
Приложения Bitcoin, которые принимают данные с сервера и не генерируют секретных ключей самостоятельно, не затронуты данной уязвимостью. Например, это программы Coinbase или Mt Gox.
Вероятно, уязвимость системного компонента Android затрагивает не только криптовалюту, но и другие криптографические последовательности в других программах, которые были созданы с использованием системного ГСЧ.
