Google: Patch para Implementação Android SecureRandom

Um engenheiro de segurança que trabalha na manutenção da plataforma Android, mais uma vez confirmou a existência da vulnerabilidade que tornou os mais populares apps wallet Bitcoin para a plataforma aberta suscetíveis ao ataque, e ofereceu ajuda para os desenvolvedores nessa questão. A implementação Android no Java SecureRandom tornou todas as chaves privadas geradas em dispositivos Android muito fracas, e assim podendo ser facilmente trabalhadas por atacantes. Como cada transação com Bitcoin deve ser assinada com a chave privada associada com o endereço da pessoa que tem a intenção de transferir o dinheiro, é fácil saber que a chave privada de criptografia de alguém pode permitir que um indivíduo mal-intencionado invista maliciosamente contra a pessoa.


Nós já determinamos que as aplicações que utilizam a arquitetura de criptografia Java (JCA) para geração de chaves, assinatura, ou geração de números aleatórios não pode receber valores criptograficamente fortes em dispositivos Android, devido à inicialização indevida do PRNG subjacente, explicou o engenheiro em uma postagem de blog.


Saiba Mais:

[1] Net Security http://www.net-security.org/secworld.php?id=15417