Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



La vulnérabilité cryptographique d'Android, l'origine du vol de 5 720 dollars en bitcoins

Par Rédaction, secuobs.com
Le 15/08/2013


Résumé : Google a confirmé que le vol de 5 720 dollars en bitcoins depuis un portefeuille numérique trouvait bien son origine dans l'exploitation d'une vulnérabilité cryptographique présente dans toutes les versions de son système d'exploitation.



Les développeurs de Google ont confirmé une vulnérabilité cryptographique présente au sein du système d'exploitation Android permettant de générer des instabilités critiques d'un point de vue sécuritaire au niveau d'applications utilisées habituellement par un large panel d'utilisateurs afin d'effectuer des transactions par l'intermédiaire du système Bitcoin.

Cette vulnérabilité, présente dans l'architecture cryptographique de Java (JCA) sous Android, est donc à l'origine du vol de l'équivalent de 5 720 dollars (en bitcoins) depuis un portefeuille numérique la semaine dernière. D'autres types d'applications pourraient également être concernées tant que les développeurs ne modifieront pas la façon d'accéder aux « PRNGs » (Pseudo Random Number Generators).

Est donc concerné, l'ensemble des applications utilisant Java Cryptography Architecture pour de la génération de clés, de la signature numérique ou de la génération pseudo-aléatoire de nombres puisque les résultats retournées ne devraient pas être caractérisées par des valeurs fortes en termes de cryptographie, et ce de par le fait d'une initialisation impropre du PRNG sous-jacent privilégié.

Les applications appelant directement le PRNG d'OpenSSL, fourni par le système, sans une initialisation explicite seront quant à elles autant concernées par l'exploitation de cette vulnérabilité plus que critique sur les systèmes d'exploitation Android. Celles utilisant les classes HttpClient & java.net ne seront elles pas vulnérables à l'exploitation de cette vulnérabilité.

Actuellement, cela serait pas moins de 360 000 applications qui utiliseraient le service SecureRandom de JCA et vu que, contrairement aux premières informations fournies, c'est bien l'ensemble des versions du système d'exploitation Android qui sont concernées, il faudra donc s'attendre à un déferlement de mises à jour dans les semaines à venir, certaines applications ayant déjà été corrigées.

Source :

« Google confirms critical Android crypto flaw used in 5,700 Bitcoin heist » sur « Ars Technica Risk Assessment » ( lien )