Pekan lalu, Bitcoin Foundation mengumumkan penemuan kelemahan kritikal tersebut dan menuding OS Android Google sebagai penyebab celah pada random number generator yang dipakai untuk mengamankan sistem pembayaran tunai elektronis.
Menurut Bitcoin, random number generator, yang menyediakan input yang dipakai untuk membuat private keys yang dibutuhkan untuk menciptakan Bitcoin wallet, mengandung bug yang telah dieksploitasi untuk mencuri saldo dari beberapa pengguna app dompet Bitcoin.
Security engineer Google Android Alex Klyubin mengakui adanya bug tersebut dalam posting blognya. Ia menyebutkan, angka-angka acak yang dibuat oleh Android memang lemah secara kriptografis.
“Kami sekarang tahu bahwa aplikasi yang menggunakan Java Cryptography Architecture (JCA) untuk membuat key, signing, atau pembuatan angka acak mungkin tidak menerima angka-angka ketat secara kriptografis pada perangkat Android karena inisialisasi yang kurang tepat dari PRNG di bawahnya,” jelas Klyubin.
“Aplikasi yang langsung mengaktifkan sistem yang disediakan OpenSSL PRNG tanpa inisialisasi eksplisit pada Android juga terpengaruh. Aplikasi yang membentuk hubungan TLS/SSL dengan menggunakan HttpClient dan java.net classes tidak terpengaruh karena classes tesebut mengambil OpenSSL PRNG dengan nilai dari /dev/urandom.”
Klyubin menyarankan para developer yang menggunakan JCA untuk membuat key, signing atau random number generation meng-update aplikasi-nya agar secara eksplisit menginisialisasi PRNG dengan entropy dari “/dev/urandom or /dev/random”. Para developer juga harus menentukan apakah harus me-regenerate cryptographic keys atau angka-angka acak yang sebelumnya dibuat dengan JCA APIs.
Sayangnya, patch yang dikeluarkan Google, yang memastikan bahwa Android OpenSSL PRNG diinisialisasi dengan benar, sehingga memperbaiki cacat, mungkin tidak bisa diperoleh oleh semua pengguna Bitcoin yang harus meng-update OS mobile-nya sesegara mungkin.
Ini, menurut Klyubin, karena patch tersebut disediakan pada “para mitra OHA”. Istilah “para mitra OHA” merujuk pada Open Handset Alliance, yang anggotanya mencakup produsen handset Android seperti Samsung, HTC dan Sony Ericsson, dan operator telepon genggam lain.
Intinya, tambalan celah alias update OS ini perlu kerjasama dari tiga pihak: Google, pemasok layanan ponsel dan produsen smartphone.
Source : PC-Plus
Posting Komentar