Lỗ hổng mật mã trong ứng dụng Blockchain trên Android gửi Bitcoin tới địa chỉ sai

16:46 | 05/06/2015 | LỖ HỔNG ATTT

Blockchain, một trong những ví Bitcoin được sử dụng phổ biến nhất trên Internet, vừa phải cập nhật gấp ứng dụng trên Android sau khi phát hiện lỗi lập trình mật mã nghiêm trọng có thể khiến người dùng gửi bitcoin tới địa chỉ sai mà không hề cảnh báo.

Lỗ hổng mật mã trong ứng dụng Blockchain trên Android gửi Bitcoin tới địa chỉ sai

Lỗ hổng này ảnh hưởng đến những người dùng Blockchain for Android trên phiên bản 4.1 hay cũ hơn của hệ điều hành. Điều nguy hiểm nhất của lỗ hổng này là việc sử dụng kết nối HTTP (không được mã hóa) khi ứng dụng nối tới trang random.org để lấy số ngẫu nhiên phục vụ cho việc sinh khóa bí mật cho các địa chỉ Bitcoin. Kể từ tháng 1/2015, trang random.org yêu cầu sử dụng giao thức HTTPS và trả về mã lỗi 301 (Moved Permanently) khi nhận được các yêu cầu qua HTTP. Điều đó khiến cho các phiên bản lỗi của Blockchain sinh ra khóa bí mật tương ứng với địa chỉ 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F trong mọi trường hợp (dù người dùng yêu cầu chuyển tiền đến bất kỳ địa chỉ nào khác).

Kết quả là khá nhiều người đã chuyển tiền tới địa chỉ “may mắn” trên. Theo thông tin từ khoản mục trên Bitcoin, chủ của địa chỉ 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F đã nhận được gần 34 bitcoin từ tháng 1/2015 đến nay (theo tỷ giá hiện thời thì 34 bitcoin có giá trị khoảng 8.100 USD). Nicholas Weaver - một nhà nghiên cứu bảo mật của International Computer Science Institute ở Berkeley, California – nói rằng có thể nhiều người khác đã được hưởng lợi từ lỗi này do việc sử dụng các dịch vụ "tumbler" để che giấu đường đi của bitcoin.

Ngoài ra, trong một số trường hợp, trình sinh số ngẫu nhiên trong Blockchain for Android không thể truy cập dữ liệu ngẫu nhiên để trộn với giá trị ngẫu nhiên lấy từ random.org. Khi đó, thay vì trả lỗi, ứng dụng lại dùng ngay số 256 bit do random.org cung cấp để sinh khóa bí mật – điều khá nguy hiểm cho quá trình mã hóa.

Hiện vẫn chưa rõ nguyên nhân dẫn đến việc người dùng trên Android 4.1 và các phiên bản cũ hơn bị ảnh hưởng trong khi những người khác lại an toàn. Một số người đoán rằng lỗ hổng nằm ở các thiết bị không thể truy cập các giá trị ngẫu nhiên có trong tệp /dev/urandom.

Việc không dùng HTTPS, không phát hiện lỗi 301 được trả về và một số thiết bị không thể lấy giá trị ngẫu nhiên từ hệ điều hành đã cho thấy rất dễ gây lỗi khi tự phát triển các ứng dụng mật mã.

Đây không phải là lỗi mật mã đầu tiên khiến cho người dùng ví điện tử trên Android mất tiền. Khoảng hai năm trước đây, một lỗ hổng mật mã nghiêm trọng trong hệ điều hành Android đã bị lợi dụng đánh cắp số bitcoin trị giá khoảng 5.720 USD từ một ví điện tử.

‹ › ×

Tin liên quan

Thủ thuật tấn công Bitcoin tinh vi mà người dùng cần lưu ý

08:00 | 29/11/2017

Bitcoin đang phá vỡ kỷ lục khi đạt mức cao nhất vào ngày 01/11/2017. Kéo theo đó, tội phạm mạng cũng đang tìm cách kiếm lợi từ bitcoin nói riêng và tiền điện tử nói chung bằng nhiều thủ thuật tinh vi. Theo Bleeping Computer, cuộc tấn công tiền điện tử mới nhất của tin tặc đã thu về 150.000 USD.

Blockchain - công nghệ dẫn dắt cuộc cách mạng công nghiệp 4.0

08:00 | 15/06/2018

Đó là quan điểm được nhắc tới trong phát biểu khai mạc của ông Nguyễn Văn Bình, Ủy viên Bộ Chính trị, Bí thư Trung ương Đảng, Trưởng ban Kinh tế Trung ương tại Diễn đàn Blockchain 2018 với chủ đề “Xu hướng và tầm nhìn phát triển” được tổ chức ngày 14/6/2018 tại Hà Nội.

Blockchain - xu hướng và triển vọng

08:00 | 18/06/2018

Làn sóng Cách mạng công nghiệp 4.0 với những công nghệ như Dữ liệu lớn (Big Data), Trí tuệ nhân tạo (AI) và Blockchain sẽ làm thay đổi cuộc sống con người trên toàn thế giới. Trong đó, Blockchain không chỉ là nền tảng công nghệ để xây dựng tiền mã hóa, mà còn được triển khai vào nhiều lĩnh vực trong cuộc sống. Với những đặc tính ưu việt của Blockchain, đây có thể là hướng đi đáng để các doanh nghiệp mạo hiểm. Bài báo này đề cập tới các kỹ thuật, ứng dụng và xu hướng phát triển của công nghệ Blockchain trong tương lai.

Một cách nhìn về cơ chế đồng thuận dùng bằng chứng cổ phần

13:00 | 26/12/2022

Một khía cạnh quan trọng của công nghệ blockchain (chuỗi khối) là xác định người dùng nào công bố khối tiếp theo. Điều này được giải quyết thông qua việc thực hiện một trong nhiều mô hình đồng thuận có thể. Trong khi cố gắng cải thiện hiệu quả năng lượng của các chuỗi khối sử dụng bằng chứng công việc (Proof of Work - PoW) trong cơ chế đồng thuận, bằng chứng cổ phần (Proof of Stake - PoS) lại đưa ra một loạt các thiếu sót mới đáng kể trong cả mô hình tiền tệ và mô hình quản trị. Bài viết trình bày lại các phân tích của [1] và chỉ ra rằng những hệ thống như vậy là độc tài, độc quyền nhóm và được ủy quyền (permissioned).

Tin cùng chuyên mục

Lỗ hổng mới của GitLab có thể cho phép thực thi CI/CD Pipeline tùy ý

10:00 | 18/10/2024

GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.

Mỹ và Microsoft thu giữ 107 tên miền Nga trong chiến dịch trấn áp tội phạm mạng quy mô lớn

18:00 | 11/10/2024

Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.

Lỗ hổng Microsoft Office cho phép tin tặc theo dõi người dùng

10:00 | 23/08/2024

Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.

Phát hiện hình thức tấn công DNS mới

13:00 | 06/08/2024

Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.