Ông chia sẻ rằng, hàm SecureRandom phổ biến của JavaScript không thực sự an toàn. Do JavaScript không an toàn, nên một lỗi có thể khiến mã lệnh không thể sử dụng window.crypto API của trình duyệt và quay lại sử dụng hàm Math.random() không đáp ứng yêu cầu ngẫu nhiên cho các thao tác mật mã học.
Mustafa Al-Bassam, một nhà nghiên cứu khoa học máy tính ở trường Đại học London nói rằng, vấn đề nằm trong các phiên bản trước năm 2013 của jsbn, một thư viện mật mã học của JavaScript. Lỗ hổng của thư viện này được biết đến từ năm 2013 và đã được Greg Maxwell, lập trình viên Bitcoin Core phân tích trong một bài trình bày năm 2015.
Matthew Green, Phó Giáo sư khoa học máy tính tại trường Johns Hopkins, đồng thời là một chuyên gia về mật mã học nói rằng, quay lại sử dụng các giải pháp thay thế sẽ kém an toàn hơn. Ông cho rằng, vấn đề với đoạn mã không chỉ liên quan tới các ví điện tử do những ứng dụng cũ sinh ra, mà còn liên quan cả tới các địa chỉ Bitcoin được tạo vào thời điểm đó. Nếu người dùng sinh địa chỉ Bitcoin của mình bằng đoạn mã đó có thể bị tấn công, các khoá có thể đoán biết được và có thể bị lợi dụng để trộm tiền. Ông nói thêm rằng, khó có thể biết trình duyệt và các ứng dụng sinh khoá thế nào vì điều đó không phải lúc nào cũng rõ ràng và có nhiều biến thể khác nhau.
Trình duyệt Chrome bị ảnh hưởng bởi lỗi này cho tới tận năm 2015. Việc sinh số ngẫu nhiên không đáp ứng tiêu chuẩn khiến các khoá mã hoá sinh bằng đoạn mã đó có thể được tìm ra bằng cách dò thử trong khoảng 1 tuần. Gerard đã nói rằng phần lớn các ví điện tử dùng để chứa tiền mã hoá bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, sau đó ông đã đính chính lại và cho biết chỉ có một số ví bị ảnh hưởng. Đó là Bitaddress (trước 2013), Bitcoinjs (trước 2014) và bất kỳ loại nào sử dụng các đoạn mã cũ trên GitHub từng triển khai hàm SecureRandom.
Dave Harding, một người tham gia đóng góp vào Bitcoin Core đã tỏ ý nghi ngờ về động cơ của người “đào” lại câu chuyện về lỗ hổng và cho rằng người đó khuấy lên để gây chú ý hay để kiếm tiền. Tuy nhiên, ông cũng thừa nhận một số khoá bí mật được sinh trong các trình duyệt những năm trước đây không đủ an toàn “Những khoá kém an toàn nhất đã bị lộ và tiền của người dùng đã bị đánh cắp; một số khoá khác có thể đủ an toàn vào thời điểm này, nhưng vẫn có thể bị lộ trong tương lai". Ông khuyên những người vẫn còn lo ngại nên liên hệ với nhà cung cấp ví và chỉ ra rằng Bitcoin.org vẫn duy trì một danh sách các ví điện tử có vấn đề về mặt an ninh.
Công Thành
Theo The Register
10:00 | 14/11/2018
17:00 | 07/04/2021
11:00 | 17/07/2021
09:00 | 26/02/2025
Từ ngày 22 - 25/1/2025, trong khuôn khổ Pwn2Own Automotive 2025 - một cuộc thi hackathon tập trung vào an ninh mạng trong các hệ thống ô tô diễn ra tạiTokyo, các nhà nghiên cứu bảo mật từ 13 quốc gia đã phát hiện và công bố tổng cộng 49 lỗ hổng zero-day mới trong các hệ thống ô tô hiện có.
09:00 | 25/02/2025
Nhóm tin tặc APT do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon, đã bị phát hiện khai thác 2 lỗ hổng đã biết trong các thiết bị Cisco trong các cuộc tấn công gần đây nhằm vào các nhà cung cấp dịch vụ viễn thông.
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
