|
La vulnérabilité cryptographique d'Android, l'origine du vol de 5 720 dollars en bitcoins
Par Rédaction,
secuobs.com
Le 15/08/2013
Résumé : Google a confirmé que le vol de 5 720 dollars en bitcoins depuis un portefeuille numérique trouvait bien son origine dans l'exploitation d'une vulnérabilité cryptographique présente dans toutes les versions de son système d'exploitation. - Lire l'article
Les développeurs de Google ont confirmé une vulnérabilité cryptographique présente au sein du système d'exploitation Android permettant de générer des instabilités critiques d'un point de vue sécuritaire au niveau d'applications utilisées habituellement par un large panel d'utilisateurs afin d'effectuer des transactions par l'intermédiaire du système Bitcoin.
Cette vulnérabilité, présente dans l'architecture cryptographique de Java (JCA) sous Android, est donc à l'origine du vol de l'équivalent de 5 720 dollars (en bitcoins) depuis un portefeuille numérique la semaine dernière. D'autres types d'applications pourraient également être concernées tant que les développeurs ne modifieront pas la façon d'accéder aux « PRNGs » (Pseudo Random Number Generators).
Est donc concerné, l'ensemble des applications utilisant Java Cryptography Architecture pour de la génération de clés, de la signature numérique ou de la génération pseudo-aléatoire de nombres puisque les résultats retournées ne devraient pas être caractérisées par des valeurs fortes en termes de cryptographie, et ce de par le fait d'une initialisation impropre du PRNG sous-jacent privilégié.
Les applications appelant directement le PRNG d'OpenSSL, fourni par le système, sans une initialisation explicite seront quant à elles autant concernées par l'exploitation de cette vulnérabilité plus que critique sur les systèmes d'exploitation Android. Celles utilisant les classes HttpClient & java.net ne seront elles pas vulnérables à l'exploitation de cette vulnérabilité.
Actuellement, cela serait pas moins de 360 000 applications qui utiliseraient le service SecureRandom de JCA et vu que, contrairement aux premières informations fournies, c'est bien l'ensemble des versions du système d'exploitation Android qui sont concernées, il faudra donc s'attendre à un déferlement de mises à jour dans les semaines à venir, certaines applications ayant déjà été corrigées.
Source :
« Google confirms critical Android crypto flaw used in 5,700 Bitcoin heist » sur « Ars Technica Risk Assessment » ( lien )
- Article suivant : Avec Teeth, Maltego passe à l'offensive
- Article précédent : RDFU une plate-forme de détection des Rootkits UEFI
- Article suivant dans la catégorie Failles : Jekyll, une application malicieuse contournant les détections de l'App Store d'Apple
- Article précédent dans la catégorie Failles : Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|