Nuevamente un problema de seguridad relacionado con la moneda virtual Bitcoin, en esta ocasión se ha descubierto una vulnerabilidad en los monederos Bitcoin de Android que puede permitir su robo.

Si bien en esta ocasión el fallo no es directamente achacable a Bitcoin, sino que en realidad es una especificación, sino de las aplicaciones derivadas y objetivo de ciertas familias de malware 

 
Los desarrolladores de Bitcoin.org han publicado una alerta en la que recomiendan a todos los poseedores de Bitcoins que sean usuarios de monederos Android actualizar a nuevas versiones de su monedero tan pronto estén disponibles. 
 
Son múltiples sistemas monedero, como Bitcoin Wallet, blockchain.info o BitcoinSpinner, los que preparan actualizaciones para corregir el fallo anunciado, que reside en la forma en que Android genera números aleatorios. Por su parte Mycelium Wallet ya ha publicado la versión 6.5, que soluciona este problema. 
 
Dado que el problema reside en el propio Android el error afecta a cualquier monedero generado por una aplicación. Aplicaciones en las que el sistema no controla las claves privadas no se ven afectadas. Por ejemplo, las aplicaciones Coinbase o Mt Gox no se ven afectadas porque las llaves privadas no se generan en el teléfono Android. 
 
Bitcoin Wallet ha publicado una corrección en fase beta y una descripción del problema según el cual todo reside en el uso de la clase Android SecureRandom que tiene múltiples y graves fallos que hacen que su uso sea inútil para propósitos criptográficos. Todo parece indicar que el generador de números aleatorios produce números no todo lo aleatorios que deberían ser. 
 
El problema tiene otras implicaciones, que pueden incomodar al usuario, pues es obligado a generar nuevas claves y una nueva dirección de Bitcoin, y enviar el dinero del antiguo monedero al nuevo. Tras ello será necesario informar de nuestra nueva dirección a los usuarios que tuvieran nuestra dirección almacenada. Por fortuna, algunas aplicaciones como Bitcoin Wallet harán todo de forma automática. 
 
También se ha informado que en algunos casos (como con el monedero de blockchain.info) los monederos de equipos de sobremesa o iPhone también pueden verse afectados si se han realizado pagos desde un dispositivo Android. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/08/vulnerabilidad-en-android-permite-el.html#comments
 
Más información:
 
Android Security Vulnerability
http://bitcoin.org/en/alert/2013-08-11-android
 
Critical Vulnerability Found In Android Wallets
http://bitcoinmagazine.com/critical-vulnerability-found-in-android-wallets/
 
IMPORTANT: Android key rotation
https://bitcointalk.org/index.php?topic=271846.0

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar