Google bestätigt Android-Sicherheitslücke bei Bitcoin-Apps

Datum: Autor: Julian Kategorie: SmartphonesTAGS:  , , ,

Google hat dieses Mal unwahrscheinlich schnell auf die durch die Bitcoin-Community festgestellten Sicherheitsmängel innerhalb des Android Betriebssystems reagiert. Alex Klyubin, Sicherheitstechniker bei Android, hat dazu offiziell über den Android Entwickler-Blog Stellung bezogen.

Das Android Entwicklerteam bestätigt das Problem des Java Verschlüsselungs-Generators

Wie wir berichteten, hatten sich findige Gauner eine Sicherheitslücke im Android Betriebssystem zunutze gemacht, um so nicht autorisierte Bitcoin-Transfers von dritten Bitcoin-Konten durchzuführen. Dadurch entstand bereits ein Schaden von mehreren Tausend US-Dollar. Zwar haben viele der Anbieter von Android-Apps für Bitcoin-Überweisungen umgehend reagiert, doch Google hat nun für eine weitere Entschärfung der Gefahr gesorgt. Der Android Sicherheitstechniker Alex Klyubin hat sich dazu auf dem offiziellen Developer-Blog von Android geäußert. Demnach hat das Sicherheitsteam festgestellt, dass Apps, welche die Java Kryptographie Architektur, kurz JCA für Java Cryptography Architecture, von SecureRandom nutzen, teilweise zu schwache kryptographische Verschlüsselungswerte erhalten.

--Werbung--

Empfehlungen an Entwickler und Patches für die OHA-Partner

Dem gegenüber erwähnt Klyubin, dass Anwendungen, die über TLS und SSL-Verbindungen den HTTP-Client und Java.net-Klassen nutzen, nicht davon betroffen sind, da der in SecureRandom integrierte Zahlen-Generator PRNG (Pseudo Random Number Generator) seine Daten von /dev/urandom bezieht. Dementsprechend sollen die Schlüssel-Generierung von Entwicklern, die JCA nutzen, über diese Adresse erfolgen. Außerdem haben die Entwickler von Android ein Patch geschrieben, welches sicherstellt, dass der OpenSSL PRNG korrekt arbeitet und dieses Patch an die Open Handset Alliance (OHA) übermittelt hat. Die OHA ist ein von Google 2007 ins Leben gerufenes Konsortium von beinahe 100 Unternehmen. Zielsetzung ist das Schaffen von offenen Standards auf Mobilfunkgeräten.

Für Bitcoin wahrscheinlich ein weiterer Image-Verlust

Google hat für Android durch sein schnelles Handeln wohl eher ein positives Feedback aus der Sicherheitslücke schlagen können. Für den Bitcoin hingegen wird es für viele Menschen nur ein weiterer Grund sein, von der virtuellen Währung Abstand zu nehmen, was schade wäre.

Weiterführende Informationen und Quellen:

 

Kommentar schreiben

Banner buchen

Wenn du einen Bannerplatz auf unserer Website buchen, einen Linktausch vorschlagen, oder Artikel schreiben möchtest, klicke hier.