Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Google elismerte az Android CSPRNG hibáját

2013.08.15. 10:05 | buherator | Szólj hozzá!

A nagyjából 1 millió forintos BitCoin lenyúlást követően először ismerte el Google alkalmazott az Android kriptográfiailag biztonságos véletlengenerátorának (CSPRNG) hibáját. Alex Klyubin blogposztjában kifejti, hogy az Android SecureRandom implementációja ugyan a jó kriptográfiai tulajdonságokkal rendelkező OpenSSL könyvtárat használja, de az ebben található véletlengenerátort automatikusan nem seedeli. Ennek eredményeként minden alkalmazás, ami az Andorid SecureRandom implementációjára támaszkodik, vagy megfelelő seedelés nélkül, közvetlenül használja az OpenSSL véletlengenerátorát veszélyben lehet. 

Bár a gyártó kiadott egy hibajavítást a probléma megszűntetésére, nem lehet megjósolni, hogy ez mikor fog eljutni a különböző szolgáltatók által kibocsátott készülékekre, így az érintett szoftverfejlesztőknek azt javasolják, hogy emeljék be a Google által kiadott, elkerülő megoldást biztosító kódot az alkalmazásaikba. Ez egyrészt megkeveri az OpenSSL CSPRNG állapotát, másrészt egy új, jól seed-elt Providert regisztrál, így mint a JCA-t, mind közvetlenül az OpenSSL-t használó alkalmazások megvédhetik magukat.

Címkék: google patch android kriptográfia bitcoin prng

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.