Google heeft bevestigd dat het Android besturingssysteem een kwetsbaarheid in een cryptografische functie bevat waardoor de afgelopen dagen voor duizenden dollars aan Bitcoins zijn gestolen. Het probleem speelt echter niet alleen bij apps waarmee gebruikers hun Bitcoins kunnen beheren. Deze week werd van verschillende gebruikers de privésleutel achterhaald, waarna voor zo'n 5700 dollar aan Bitcoins werd gestolen.
Al gauw werd gesteld dat het probleem zich in de Android implementatie van de Java SecureRandom getallengenerator bevindt. SecureRandom genereert cryptografische sterke willekeurige getallen. De implementatie op Android blijkt een probleem te bevatten waardoor het mogelijk is om de privésleutel te achterhalen en geld uit de portemonnee van Bitcoingebruikers te stelen.
"We hebben nu vastgesteld dat applicaties die de Java Cryptography Architecture (JCA) gebruiken voor het genereren van sleutels, signeren of het genereren van willekeurige getallen op Androidtoestellen geen voldoende sterke cryptografische waardes ontvangen door het verkeerd initialiseren van de onderliggende pseudorandom number generator (PRNG)"
Alles bij de bron; Security