ANDROID Vulnerabilidad permite robo en Monedero Bitcoin

Detectada una vulnerabilidad en Android que afecta a diversos monederos Bitcoin bajo ese sistema operativo y que puede permitir  robo.

Impacto de la vulnerabilidad

• Dado que el problema reside en el propio Android el error afecta a cualquier monedero generado por una aplicación. Aplicaciones en las que el sistema no controla las claves privadas no se ven afectadas. Por ejemplo, las aplicaciones Coinbase o Mt Gox no se ven afectadas porque las llaves privadas no se generan en el teléfono Android.
• El problema tiene otras implicaciones, que pueden incomodar al usuario, pues es obligado a generar nuevas claves y una nueva dirección de Bitcoin, y enviar el dinero del antiguo monedero al nuevo.
• Después es necesario informar de vuestra nueva dirección a los usuarios que tuvieran vuestra dirección almacenada. 
• Algunas aplicaciones como Bitcoin Wallet realizan todo el proceso de forma automática.

Recomendación

• Los desarrolladores de Bitcoin.org han publicado una alerta en la que recomiendan a todos los poseedores de Bitcoins que sean usuarios de monederos Android actualizar a nuevas versiones de su monedero tan pronto estén disponibles.
• Múltiples sistemas monedero preparan actualizaciones para corregir el fallo anunciado, como Bitcoin Wallet, blockchain.info o BitcoinSpinner. El problema tiene su origen en la forma en que Android genera números aleatorios. Por su parte Mycelium Wallet ya ha publicado la versión 6.5, que soluciona este problema.
• También se ha informado que en algunos casos (como con el monedero de blockchain.info) los monederos de equipos de sobremesa o iPhone también pueden verse afectados si se han realizado pagos desde un dispositivo Android.
• Bitcoin Wallet ha publicado una corrección en fase beta y una descripción del problema según el cual todo reside en el uso de la clase Android SecureRandom que tiene múltiples y graves fallos que hacen que su uso sea inútil para propósitos criptográficos. Todo parece indicar que el generador de números aleatorios produce números no todo lo aleatorios que deberían ser.

Más información:

• Android Security Vulnerability  http://bitcoin.org/en/alert/2013-08-11-android
• Critical Vulnerability Found In Android Wallets  http://bitcoinmagazine.com/critical-vulnerability-found-in-android-wallets/
• IMPORTANT: Android key rotation  https://bitcointalk.org/index.php?topic=271846.0

Fuente: Hispasec