Ông chia sẻ rằng, hàm SecureRandom phổ biến của JavaScript không thực sự an toàn. Do JavaScript không an toàn, nên một lỗi có thể khiến mã lệnh không thể sử dụng window.crypto API của trình duyệt và quay lại sử dụng hàm Math.random() không đáp ứng yêu cầu ngẫu nhiên cho các thao tác mật mã học.
Mustafa Al-Bassam, một nhà nghiên cứu khoa học máy tính ở trường Đại học London nói rằng, vấn đề nằm trong các phiên bản trước năm 2013 của jsbn, một thư viện mật mã học của JavaScript. Lỗ hổng của thư viện này được biết đến từ năm 2013 và đã được Greg Maxwell, lập trình viên Bitcoin Core phân tích trong một bài trình bày năm 2015.
Matthew Green, Phó Giáo sư khoa học máy tính tại trường Johns Hopkins, đồng thời là một chuyên gia về mật mã học nói rằng, quay lại sử dụng các giải pháp thay thế sẽ kém an toàn hơn. Ông cho rằng, vấn đề với đoạn mã không chỉ liên quan tới các ví điện tử do những ứng dụng cũ sinh ra, mà còn liên quan cả tới các địa chỉ Bitcoin được tạo vào thời điểm đó. Nếu người dùng sinh địa chỉ Bitcoin của mình bằng đoạn mã đó có thể bị tấn công, các khoá có thể đoán biết được và có thể bị lợi dụng để trộm tiền. Ông nói thêm rằng, khó có thể biết trình duyệt và các ứng dụng sinh khoá thế nào vì điều đó không phải lúc nào cũng rõ ràng và có nhiều biến thể khác nhau.
Trình duyệt Chrome bị ảnh hưởng bởi lỗi này cho tới tận năm 2015. Việc sinh số ngẫu nhiên không đáp ứng tiêu chuẩn khiến các khoá mã hoá sinh bằng đoạn mã đó có thể được tìm ra bằng cách dò thử trong khoảng 1 tuần. Gerard đã nói rằng phần lớn các ví điện tử dùng để chứa tiền mã hoá bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, sau đó ông đã đính chính lại và cho biết chỉ có một số ví bị ảnh hưởng. Đó là Bitaddress (trước 2013), Bitcoinjs (trước 2014) và bất kỳ loại nào sử dụng các đoạn mã cũ trên GitHub từng triển khai hàm SecureRandom.
Dave Harding, một người tham gia đóng góp vào Bitcoin Core đã tỏ ý nghi ngờ về động cơ của người “đào” lại câu chuyện về lỗ hổng và cho rằng người đó khuấy lên để gây chú ý hay để kiếm tiền. Tuy nhiên, ông cũng thừa nhận một số khoá bí mật được sinh trong các trình duyệt những năm trước đây không đủ an toàn “Những khoá kém an toàn nhất đã bị lộ và tiền của người dùng đã bị đánh cắp; một số khoá khác có thể đủ an toàn vào thời điểm này, nhưng vẫn có thể bị lộ trong tương lai". Ông khuyên những người vẫn còn lo ngại nên liên hệ với nhà cung cấp ví và chỉ ra rằng Bitcoin.org vẫn duy trì một danh sách các ví điện tử có vấn đề về mặt an ninh.
Công Thành
Theo The Register
10:00 | 14/11/2018
17:00 | 07/04/2021
11:00 | 17/07/2021
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024