Hace un par de días os hablábamos sobre una noticia relacionada con seguridad que saltaba como alerta en la red. Un fallo de seguridad en Android producía una seria vulnerabilidad en el sistema de transacción entre carteras de Bitcoin que permitía acceder fácilmente a estas y robar dinero. Google ha confirmado este fallo y hoy sabemos más sobre lo qué ocurre y cómo funciona.
Resumiendo lo que habíamos contado hasta ahora, el problema viene de las aplicaciones para hacer transferencias con Bitcoin para Android que generan su propia clave de encriptación. Todas estas aplicaciones se habían visto comprometidas, ya que usan el sistema de generación aleatoria de números nativo de Android, donde reside el fallo.
Ahora Google developers confirma el fallo de seguridad, y nos aclara algo más sobre lo que está pasando. Todo reside en un problema con Android’s Java Cryptography Architecture (Arquitectura criptográfica de Java para Android) y fue descubierto en primer lugar por el ingeniero de seguridad de Google Alex Klyubin. Dentro de esta arquitectura los desarrolladores tienen acceso a los conocidos como PRNG, que son los encargados de generar las claves aleatorias.
Y ahí está la clave, estos PRNG no están haciendo bien su trabajo, y muchas de las claves generadas por las aplicaciones de Bitcoin son la misma, por lo que al ser estas públicas es fácil rastrearlas y seguir aquellas que son iguales para intervenir las transferencias. Ya se conoce al menos una cuenta que parece ser la responsable ella sola del robo de monedas de Bitcoin por un valor aproximado de 5.700$. Esta fue una de las pistas que llevó a encontrar este fallo de seguridad en Android, y aunque no sea mucho, se trata sólo de una cuenta detectada, puede haber más.
Aunque no cambie mucho la situación y sea casi lo mismo, también se ha detectado que el error no sólo afecta a Android 4.2 e inferiores versiones, si no a todas ellas.
Y respecto a la solución, las cosas siguen igual que como os contamos, pero al menos Google ya ha enviado parches para solucionar el problema a los fabricantes de dispositivos, aunque cualquiera sabe el tiempo que puede pasar hasta que lleguen al usuario. Afortunadamente los desarrolladores de las aplicaciones de Bitcoin pueden solucionar por su cuenta este fallo sin esperar al parche de Android, por lo que ya cuentan con instrucciones muy precisas para ello.
Esto pone una vez más en evidencia lo importante que es la seguridad dentro de un sistema operativo, ya que no son sólo las defensas que usa este, si no las herramientas que proporciona para terceros las que suponen la diferencia entre estar o no a salvo.
El artículo Google confirma el fallo de seguridad que supuso el robo de 5.700$ en Bitcoin se publicó en El Androide Libre (El Blog Android de referencia. Aplicaciones, noticias, Juegos y smartphones Android Libres)
Continúar leyendo...