Sudah Ditambal, Celah di App Wallet Bitcoin Android
JAKARTA, SENIN – Kabar baik bagi pengguna app dompet Bitcoin Android. Celah kritikal di Android yang membuat pengguna dompet Bitcoin berpotensi kecurian itu sudah ditambal oleh Google.
Pekan lalu, Bitcoin Foundation mengumumkan penemuan kelemahan kritikal tersebut dan menuding OS Android Google sebagai penyebab celah pada random number generator yang dipakai untuk mengamankan sistem pembayaran tunai elektronis. Menurut Bitcoin, random number generator, yang menyediakan input yang dipakai untuk membuat private keys yang dibutuhkan untuk menciptakan Bitcoin wallet, mengandung bug yang telah dieksploitasi untuk mencuri saldo dari beberapa pengguna app dompet Bitcoin.
Security engineer Google Android Alex Klyubin mengakui adanya bug tersebut dalam posting blognya. Ia menyebutkan, angka-angka acak yang dibuat oleh Android memang lemah secara kriptografis.
Rekomendasi Produk PCplus
-
Sale!
ASUS Zenbook 14 OLED UX3405MA-OLEDS511 – Ponder Blue
Rp16,999,000.00 Beli Sekarang -
GEEKOM Mini PC MiniIT11 Intel Core i7-11390H 16GB DDR4 512GB SSD Win11
Rp6,290,000.00 Beli Sekarang -
Sale!
ASUS ROG FLOW X13 GV301RA – R7RADA6T-O – R7-6800HS – SSD 512GB – 120HZ
Rp18,699,000.00 Buy product -
Sale!
Lenovo ideapad Slim 3i-14ITL6 – HYID i3-1115G4 SSD 256GB Arctic Grey
Rp5,899,000.00 Beli Sekarang
“Kami sekarang tahu bahwa aplikasi yang menggunakan Java Cryptography Architecture (JCA) untuk membuat key, signing, atau pembuatan angka acak mungkin tidak menerima angka-angka ketat secara kriptografis pada perangkat Android karena inisialisasi yang kurang tepat dari PRNG di bawahnya,” jelas Klyubin.
“Aplikasi yang langsung mengaktifkan sistem yang disediakan OpenSSL PRNG tanpa inisialisasi eksplisit pada Android juga terpengaruh. Aplikasi yang membentuk hubungan TLS/SSL dengan menggunakan HttpClient dan java.net classes tidak terpengaruh karena classes tesebut mengambil OpenSSL PRNG dengan nilai dari /dev/urandom.”
Klyubin menyarankan para developer yang menggunakan JCA untuk membuat key, signing atau random number generation meng-update aplikasi-nya agar secara eksplisit menginisialisasi PRNG dengan entropy dari “/dev/urandom or /dev/random”. Para developer juga harus menentukan apakah harus me-regenerate cryptographic keys atau angka-angka acak yang sebelumnya dibuat dengan JCA APIs.
Sayangnya, patch yang dikeluarkan Google, yang memastikan bahwa Android OpenSSL PRNG diinisialisasi dengan benar, sehingga memperbaiki cacat, mungkin tidak bisa diperoleh oleh semua pengguna Bitcoin yang harus meng-update OS mobile-nya sesegara mungkin. Ini, menurut Klyubin, karena patch tersebut disediakan pada “para mitra OHA”. Istilah “para mitra OHA” merujuk pada Open Handset Alliance, yang anggotanya mencakup produsen handset Android seperti Samsung, HTC dan Sony Ericsson, dan operator telepon genggam lain.
Intinya, tambalan celah alias update OS ini perlu kerjasama dari tiga pihak: Google, pemasok layanan ponsel dan produsen smartphone.