NANO Mendesak Penggunanya Untuk Memindahkan Dana Ke Dompet Baru

NANO, yang baru-baru ini berganti nama dari RaiBlocks pada Januari 2018, telah mengeluarkan pernyataan yang memperingatkan pengguna tentang kerentanan dalam dompet android mereka. Dan mendesak mereka untuk memindahkan dana ke dompet baru.

Ini berlaku untuk siapa saja yang menghasilkan benih di dompet Android NANO, yang dirilis hanya beberapa jam yang lalu.

Masalah ini berasal dari penggunaan kelas Random.java yang digunakan untuk menghasilkan aliran nomor pseudorandom kriptografi yang aman. Tim pengembang tampaknya telah mengabaikan ini, dan penting untuk dicatat bahwa masalah ini sebelumnya tidak ditemukan.

Menurut CEO Nanex dalam postingan reddit, metode acak ini menggunakan kombinasi waktu kejadian, dan menggunakan alamat memori perangkat kelas 'java.util.Random'.

public Random() {
internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));
}

Kode di atas dapat menghasilkan 64 bilangan bulat acak. Mengubahnya menjadi format hex dan kemudian menggunakan 64 karakter pertama dari hasil. Perbaikan akan menggunakan metode SecureRandom, yang jauh lebih aman dan direkomendasikan sesuai dokumen resmi java.

Dokumen java secara eksplisit menyebutkan hal-hal berikut:

“Contoh-contoh java.util.Random tidak aman secara kriptografi. Pertimbangkan untuk menggunakan SecureRandom untuk mendapatkan generator nomor pseudo-random yang aman secara kriptografi, untuk digunakan oleh aplikasi yang peka terhadap keamanan. ”

Secara efektif, Anda akan membutuhkan proses jahat yang berjalan di ponsel android, yang memiliki akses ke ruang alamat memori, yang merupakan memori dalam perangkat yang dapat diakses oleh aplikasi/proses. Proses ini akan mengakibatkan benih dalam dompet NANO Anda dikompromikan.

Namun, pengguna melanjutkan dengan menunjukkan bahwa kecuali vektor serangan ini benar-benar digunakan, kemungkinan benih Anda dikompromikan sangat minim.

Namun, ini adalah praktik yang aman dan sangat disarankan untuk memindahkan dana NANO Anda ke dompet yang berbeda dengan benih baru, agar pengguna berada di sisi yang aman. Tim NANO saat ini menambal dompet untuk membuatnya aman secara kriptografi, dan peringatan itu dikeluarkan segera setelah mereka menemukannya.

Sumber: Berita CCN
,

About Sofia

Just a freelancer
View all posts by Sofia →

Leave a Reply

Your email address will not be published. Required fields are marked *