Forskere har opdaget en sårbarhed bosiddende i JavaScript SecureRandom() funktion bruges til at generere tilfældige Bitcoin adresser og deres tilsvarende private nøgler.
Fejlen gør gamle Bitcoin adresser genereret i browseren eller via JS-baserede tegnebogsprogrammet sårbar over for brute-force-angreb. Som et resultat, angribere kan få adgang til brugernes tegnebøger og stjæle deres cryptocurrency midler.
JavaScript SecureRandom() Bibliotek Ikke Sikker Tilfældig
Kryptografi er dybt nådesløs fejl. Du behøver ikke rode med det. Du behøver ikke rulle din egen - du har brug for kamp-hærdede algoritmer, der er blevet tortur-testet af de mest teknisk hensynsløse kryptografer du kan finde, sagde forskerne, der rapporterede problemet.
Oven i købet, de tilføjet, "den populære JavaScript SecureRandom() Biblioteket er ikke sikkert tilfældig".
Spørgsmålet er på baggrund af denne funktion ikke genererer tilfældige data, som det er meningen at gøre.
Funktionen vil generere kryptografiske nøgler,, trods deres længde, har mindre end 48 bit entropi, hvilket betyder, at nøglen produktion vil ikke have nogen mere end 48 stumper af entropi selv om dens frø har mere end det, forskere tilføjet.
SecureRandom() så kører det antal bliver det gennem den forældede RC4-algoritmen, der er kendt for at være mere forudsigelig end den burde være, dvs.. mindre bit entropi. Således, din nøgle er mere forudsigelig.
Alle ovenstående betyder, at Bitcoin adresser genereret gennem den SecureRandom() funktion er tilbøjelige til at brute-force angreb, der kan afsløre brugerens private nøgle. Hvis sidstnævnte sker, brugerens midler kan blive stjålet.
Hvem er berørt?
Tilsyneladende, alle tegnebøger genereres af js værktøjer inden browsere siden begyndelsen af Bitcoin indtil 2011 er påvirket af den Math.random svaghed, hvis der gælder for de relaterede implementeringer, den Math.random eller RC4 (Krom) svaghed mellem 2011 og 2013, og RC4 svaghed for Chrome-brugere indtil slutningen af 2015, forskere afklaret.
Med andre ord, disse taster vil være let at knække ved brute force-angreb computerkraft.
Fejlen påvirker brugere, hvis de bruger gamle krypto adresser genereret via JavaScript i browseren. Hvis dette er tilfældet, brugere bør straks flytte deres midler væk fra disse tegnebøger.
Følgende er sandsynligvis påvirket:
– BitAddress præ-2013;
– bitcoinjs før 2014;
– aktuelle software, der bruger gamle repos de findes på Github.
De seneste JavaScript-genererede adresser sandsynligvis ikke påvirkes, siger forskerne. Men, JavaScript er ikke den bedste måde at generere nøgler, så det er bedst, hvis brugerne migrere deres midler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: