האקרים מצאו דרך לגנוב ביטקוין ממשתמשי אפליקציות אנדרואיד לארנק ביטקוין, ע"י ניצול פגמים במערכת ההפעלה הניידת של אנדרואיד.
אתר
scmagazine דיווח, שגנבי סייבר הצליחו בסוף השבוע לפרוץ ל
אפליקציות אנדרואיד לארנק ביטקוין, וגנבו בשלב ראשון
ביטקוין בערך של 5,800 דולרים. האפליקציות שנתגלו פגומות הן:
Blockchain,
Bitcoin Wallet,
BitcoinSpinner,
Mycelium Bitcoin Wallet וקרוב לוודאי אפליקציות אנדרואיד אחרות לביטקוין. הדבר דווח לחברת גוגל והמפתחים יצרו מיידית שדרוגים לתיקון הפרצות. בעלי האפליקציה Bitcoin Wallet צריכים לעדכן לגרסת 3.15, בעלי אפליקציות BitcoinSpinner ו-Mycelium צריכים לעדכן לגרסת 0.7, ובעלי Blockchain צריכים לעדכן לגרסה 3.54. אלה גרסאות בהן תוקנו הפגמים.
נשאלת השאלה:
איך זה יכול היה לקרות?
מסתבר, שהבעיה טמונה באופן בו אנדרואיד מייצרת מספרי ביטחון אקראיים המשמשים ליצירת מפתחות פרטיים. בגלל פגמים במערכת ההפעלה, חשופים המפתחות הפרטיים במכשירי האנדרואיד לפריצה. להאקרים יש יכולת בשל כך לגנוב ביטקוין מאפליקציות ארנק, שפותחו עבור משתמשי אנדרואיד בלבד (לא למשתמשי אפל או ווינדוספון).
המפתחות הפרטיים חיוניים ביצירת אימות פרטים של בעלי הביטקוין. כתובת ביטקוין דומה לכתובת דוא"ל, חוץ מהעובדה שהיא מקושרת למפתח פרטי שמקביל לסיסמא, עבור הכסף שנשלח לכתובת. המשתמש לא קובע את המפתח הפרטי, אלא הטאבלט/סמארטפון/מחשב נייד עושים זאת, בהנחה בסיסית שעדיפה בחירה אקראית של קודים.
בתיקון הפגמים יצרו האפליקציות כתובת ביטקוין חדשה והכסף ישלח למשתמשים לכתובת החדשה.
בנוסף, הובע חשש באתר
theguardian לגבי פגיעותן של 360,000 אפליקציות אנדרואיד נוספות, שנעשה בהן שימוש בארכיטקטורת הצפנת ג'אווה (JCA).
