Die Forscher haben eine Schwachstelle mit Wohnsitz in dem JavaScript-Secure entdeckt() Funktion zur Erzeugung von Zufall Bitcoin-Adressen und deren entsprechenden privaten Schlüssel verwendet,.
Der Fehler macht alte Bitcoin-Adressen im Browser erzeugt oder über JS-basierte Wallet-Anwendung anfällig für Brute-Force-Angriffe. Infolge, Angreifer können den Zugriff auf Benutzer Geldbeutel bekommen und ihre Kryptowährung Mittel stehlen.
JavaScript Secure() Bibliothek wird nicht sicher Zufall
Kryptographie ist zutiefst unversöhnlich von Fehlern. Sie verwirren nicht mit ihm. Sie rollen nicht Ihre eigenen - Sie kampfgestählten Algorithmen benötigen, die von den technisch rücksichtslosen entcoders Folter getestet wurden Sie finden können, sagte die Forscher, die das Problem gemeldet.
Hinzu kommt, dass, fügten sie hinzu, "der beliebte JavaScript Secure() Bibliothek ist nicht sicher zufällig".
Das Problem wird sich aus der Funktion nicht Zufallsdaten zu erzeugen, wie es tun soll.
Die Funktion wird kryptographischer Schlüssel erzeugen,, trotz ihrer Länge, weniger als 48 Bit Entropie, was bedeutet, dass die Ausgabe des Schlüssels wird nicht mehr hat, als 48 Bits der Entropie auch wenn ihr Saatgut mehr als das hat, Forscher hinzugefügt.
Secure() dann läuft die Nummer es durch den veralteten RC4-Algorithmus wird, die mehr vorhersagbar zu sein ist bekannt, als es sein sollte, d.h.. weniger Bits Entropie. So, Ihr Schlüssel ist berechenbarer.
Alle der oben genannten bedeutet, dass die Adressen der Bitcoin der Secure erzeugt durch() Funktion sind anfällig für Brute-Force-Angriffe, die den Benutzer privaten Schlüssel kann sich herausstellen. Wenn letzteres geschieht, Fonds des Benutzers kann gestohlen werden.
Wer ist betroffen?
Offenbar, alle von js-Tools in Browsern seit Anfang Bitcoin erzeugt Mappen bis 2011 beeinflusst wird durch die Math.random Schwäche, wenn für die entsprechenden Implementierungen, die Math.random oder RC4 (Chrom) Schwäche zwischen 2011 und 2013, und RC4 Schwäche für Chrome-Nutzer bis zum Ende der 2015, Forscher klären.
Mit anderen Worten, diese Schlüssel werden einfach durch Brute-Force-Angriff von Rechenleistung zu knacken.
Der Fehler betrifft Benutzer, wenn sie alt Krypto-Adressen über JavaScript im Browser erzeugt verwenden. Wenn dies der Fall ist, Benutzer sollten sofort ihre Gelder weg von diesen Geldbörsen bewegen.
Die folgenden sind wahrscheinlich betroffen:
– BitAddress pre-2013;
– bitcoinjs vor 2014;
– aktuelle Software, die alte repos verwendet sie auf Github gefunden.
Aktuelle JavaScript-generierten Adressen wahrscheinlich sind nicht betroffen, Forscher sagen,. Jedoch, JavaScript ist nicht der beste Weg, Schlüssel zu erzeugen, so ist es am besten, wenn die Nutzer ihre Mittel wandern.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: