Androidの乱数生成機能の問題、36万以上のアプリに影響する恐れ

Bitcoin Walletが突破される恐れのある問題についてシマンテックは、この問題が30万以上のAndroidアプリに影響を及ぼすだろうと警鐘を鳴らしている。

[ITmedia]

　オープンソースの仮想通貨「Bitcoin」のWalletアプリに関する問題について、米Symantecは8月14日、この問題を引き起こす原因となったAndroid OSの乱数生成機能の脆弱性が36万以上のアプリに影響を及ぼす可能性があると報告した。

　同社によるとBitcoin Walletの問題では、Walletアプリの一部は、Androidに実装されているSecureRandomクラスを用い、同じ乱数を使って複数のトランザクションに署名をしていた。トランザクションはBitcoinネットワークに公開されるため、攻撃者がトランザクションのブロックチェーンをスキャンしてトランザクションを探せば、所有者の同意を得ずにBitcoin Walletから秘密鍵や資金を取り出せてしまうという。

　2013年の年初には、複数のセキュリティ研究者がSecureRandomクラスの実装に脆弱性が存在する可能性を指摘し、SecureRandomクラスによって生成される乱数のランダム性に影響があると報告していた。Android 4.2以降ではSecureRandomクラスが再実装されたことで、この問題の影響を受けないとしている。

　Symantecによると、このSecureRandomクラスは少なくともさまざまなカテゴリーの36万以上のアプリで利用されており、そのうち32万以上のアプリはBitcoin Walletと同じ利用形態だった。

影響を受けるアプリのカテゴリー別割合（Symantecより）

　同社はAndroid開発者に対し、「SecureRandomクラスに基づいた暗号化の実装を見直し、セキュリティリスクを引き起こす可能性があるかどうかを評価してほしい」とアドバイスしている。