l+f: Bitcoin-App Blockchain generierte Gemeinschaftskonto
Durch einen peinlichen Fehler bei der Wahl der Zufallszahlen hat die Android-App "Blockchain" eine groĂźe Bitcoin-Wallet fĂĽr alle erzeugt. Einige Nutzer haben einzahlen lassen, andere bereicherten sich.
Die Bitcoin-App Blockchain fĂĽr Android hat beim Generieren von Bitcoin-Wallets allein auf Zufallszahlen vertraut, die der Online-Dienst Random.org geliefert hat. Das ging so lange gut, bis der Dienst auf HTTPS umgestellt hat. Die App versuchte weiterhin, Zufallszahlen ĂĽber HTTP abzurufen, erhielt vom Server statt der 256 Bit langen Zahlenkette jedoch nur den Status "301 Moved Permanently". Und es kam, wie es kommen musste: Die Server-Antwort wurde in Bytes konvertiert und als Seed fĂĽr den Pseudorandom Number Generator (PRNG) genutzt.
Das führte dazu, dass die Blockchain-App immer wieder das Bitcoin-Wallet mit der Adresse 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F generiert hat und mehrere Leute im Besitz des privaten Schlüssels kamen, der den vollen Zugriff darauf erlaubt. Einige Nutzer haben das Wallet tatsächlich benutzt und darauf seit Januar insgesamt 34 Bitcoins im Gegenwert von über 7000 Euro einzahlen lassen. Andere haben sich an dem Programmierfehler bereichert und die eingezahlten Bitcoins in andere Wallets transferiert. Aktuell ist die Gemeinschaftskasse komplett geplündert. Die aktuelle Version der Blockchain-App soll wieder für private Konten sorgen. Laut dem Anbieter waren wohl Nutzer mit Android 4.1 und älteren Versionen des Betriebssystems betroffen.
lost+found: Die heise-Security-Rubrik fĂĽr Kurzes und Skurriles aus der IT-Security (rei)
