I ricercatori hanno scoperto una vulnerabilità che risiede nel SecureRandom JavaScript() funzione utilizzata per generare indirizzi Bitcoin casuali e le loro chiavi private corrispondenti.
Il difetto rende vecchi indirizzi Bitcoin generati nel browser o tramite applicazione Pagamenti JS-based vulnerabile agli attacchi di forza bruta. Di conseguenza, attaccanti possono ottenere l'accesso ai portafogli degli utenti e rubare i loro fondi criptovaluta.
JavaScript SecureRandom() Biblioteca Non a caso saldamente
La crittografia è profondamente che non perdona gli errori. Non si scherza con esso. Non si tira il proprio - è necessario algoritmi agguerriti che sono state torture-testati dai crittografi tecnicamente più spietato si possono trovare, disse i ricercatori che hanno segnalato il problema.
Per di più, hanno aggiunto, "il popolare SecureRandom JavaScript() libreria non è casuale in modo sicuro".
Il problema è derivante dalla funzione non genera dati casuali in quanto si dovrebbe fare.
La funzione genera chiavi crittografiche che, nonostante la loro lunghezza, hanno meno di 48 bit di entropia, il che significa che l'uscita della chiave non avrà più di 48 bit di entropia anche se il suo seme contiene più di questo, ricercatori hanno aggiunto.
SecureRandom() poi corre il numero si ottiene attraverso l'algoritmo RC4 obsoleto, che è noto per essere più prevedibile di quello che dovrebbe essere, i.e. meno bit di entropia. Così, la chiave è più prevedibile.
Tutto quanto sopra significa che gli indirizzi Bitcoin generati tramite la SecureRandom() Funzione sono inclini ad attacchi brute-force che possono rivelare chiave privata dell'utente. Se quest'ultimo avviene, i fondi degli utenti possono essere rubati.
Chi è interessato?
Apparentemente, tutti i portafogli generati da strumenti js nei browser dall'inizio del Bitcoin fino 2011 sono influenzati dalla debolezza Math.random se applicabile alle relative implementazioni, la Math.random o RC4 (Cromo) la debolezza tra 2011 e 2013, e la debolezza RC4 per gli utenti di Chrome fino alla fine del 2015, i ricercatori hanno chiarito.
In altre parole, questi tasti sarà facile da decifrare da forza bruta attacco di potenza di calcolo.
La falla interessa gli utenti se usano i vecchi indirizzi di crittografia generate tramite JavaScript all'interno del browser. Se questo è il caso, gli utenti devono muoversi immediatamente i loro fondi da questi portafogli.
Di seguito sono probabilmente influenzati:
– BitAddress pre-2013;
– bitcoinjs prima 2014;
– software attuale che utilizza vecchi pronti contro termine che hanno trovato su Github.
indirizzi JavaScript generati recenti probabilmente non sono interessati, dicono i ricercatori. Tuttavia, JavaScript non è il modo migliore per generare le chiavi, quindi è meglio se gli utenti migrano i loro fondi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: