Популярный электронный кошелек Blockchain отправлял криптовалюту по неверному адресу

[Сталкер 7 078]

В мобильном приложении Blockchain для Android (один из наиболее популярных электронных кошельков для криптовалюты Bitcoin) была обнаружена критическая ошибка в реализации криптографического функционала. Как следует из информации об обновлении программы, неисправность могла спровоцировать отправку денег по неверному адресу, не информируя об этом пользователя.

Брешь затрагивает множество пользователей Blockchain для Android 4.1 и более ранних версий. Самый серьезный недостаток заключался в том, что для генерации случайных чисел, необходимых для создания закрытых ключей, приложение подключалось к стороннему порталу random.org по протоколу HTTP.

Недавно администрация этого ресурса решила повысить собственные стандарты безопасности и исключить возможность работы с ресурсом через незащищенное соединение, оставив HTTPS единственно доступным протоколом (сайт выдает ошибку 301 Moved Permanently при попытке его посещения через HTTP). В результате этого, мобильное приложение генерировало закрытый ключ, соответствующий адресу 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F, вне зависимости от того, какие данные указал пользователь.

«По нашим данным, эта ошибка привела к потере средств со стороны нескольких пользователей», - следует из заявления разработчиков. Предполагается, что начиная с января нынешнего года счастливый обладатель указанного адреса получил в общей сложности порядка 34 монет Bitcoin. 

http://www.securitylab.ru/news/473164.php