Ein fehlerhafter Zufallszahlengenerator in Android ermöglicht laut der Bitcoin Foundation den einfachen Diebstahl von Bitcoins. Der Generator erzeugt unter gewissen Umständen die selben Zahlen, wodurch die öffentlich einsehbare Signatur ident ist und dadurch der private Schlüssel, mit dem das Bitcoin Wallet kontrolliert wird, errechnet werden kann.

Das Verwalten von Bitcoin-Wallets auf einem Android-Smartphone könnte laut der Bitcoin Foundation schwerwiegende Folgen haben. Denn durch einen fehlerhaften Zufallsgenerator, der von einigen Bitcoin-Apps zur Signatur von Transaktionen eingesetzt wird, könnte die Adresse des Bitcoin-Wallets öffentlich werden. Bitcoin-Wallets sind eine Form eines Kontos, auf dem Bitcoins abgespeichert werden. Eigentümer des Bitcoin Wallets ist, wer über den privaten Schlüssel des Wallets verfügt. Dieser könnte sich nun durch den Einsatz des fehlerhaften Zufallsgenerators, der beim Verschlüsseln der Transaktion angewandt wird, öffentlich werden.

Lücke bereits ausgenutzt
Der Zufallsgenerator produziert offenbar unter gewissen Umständen die selben Zahlen, wodurch die öffentlich zugängliche Signatur einer Transaktion ident ist und so auf Umwegen der private Schlüssel errechnet werden kann. Laut Berichten im Forum Bitcoin Talk kam es mit Hilfe dieser Methode bereits zu zahlreichen Diebstählen, die Bitcoin Foundation rät dazu, betroffene Apps wie blockchain.info oder BitcoinSpinner derzeit nicht zu nutzen. Für die App Bitcoin Wallet sowie Mycelium Wallet gibt es bereits erste Updates, die das Problem beheben sollen. Wer diese Apps genutzt hat und sicher gehen will, solle sich ein neues Bitcoin Wallet generieren und seine Bitcoins darauf transferieren.

via