Google admite una grave vulnerabilidad en la implementación criptográfica de Java utilizada en Android

Los desarolladores de Google confirman lo que se viene hablando desde hace unos días respecto a vulnerabilidades en la arquitectura criptográfica de Android, en concreto en el pseudo generador de números aleatorios, algo que dejaría expuestos a millones de usuarios en todo el mundo.

android seguridad

Java no es precisamente la plataforma más segura y aquí en Visualbeta hemos hablado varias veces sobre los problemas y vulnerabilidades que le han afectado. Y sin llegar al mismo nivel, hay que decir que Android también ha tenido lo suyo, por ello si se juntan ambas plataformas es probable que haya inconvenientes y dificultades, y eso es precisamente lo que a sucedido en las últimas horas tal cual han debido reconocer los propios desarrolladores de Google.

Estamos hablando de la vulnerabilidad encontrada días pasados en la implementación de la arquitectura criptográfica de Android (Java Cryptography Architecture), utilizada en una gran variedad de esquemas y que entre otras cosas ha permitido que días pasados haya sido posible vulnerar la seguridad de un usuario al cual le han robado Bitcoins por un valor de 5.700 dólares.

En concreto el problema parece estar ubicado en el pseudo generador de números aleatorios (PRNG) utilizado por la arquitectura de criptografía de Java para generar números aleatorios como así también claves (las cuales también se encarga de validar). Al parecer aquellas aplicaciones que utilizan esta arquitectura sin inicializarla en la forma correcta puede llegar a ser vulnerables ante ataques, algo que aparentemente no es el caso con las aplicaciones que utilizan las clases HttpClient y Java.Net, las cuales por suerte son mayoría. Aún así, de acuerdo a las estadísticas de Symantec hay unas 360.000 aplicaciones basadas en esta arquitectura por lo cual el número de usuarios expuestos a estas vulnerabilidades es muy grande ya que además, en las últimas horas se ha confirmado que esta no solo afecta únicamente a la versión más reciente de Android sino a todas ellas.

Via Blog de desarrolladores de Google

Valora esta noticia: 1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (0 votos, media: 0,00 de 5)
Loading ... Loading ...