แอนดรอยด์ออกแพตซ์แก้บั๊กตัวสร้างเลขสุ่มแล้ว พร้อมคลาส PRNGFixes ใช้แก้ปัญหาชั่วคราว

Android

บั๊กในตัวสร้างเลขสุ่มของแอนดรอยด์ทำให้กุญแจลับที่สร้างขึ้นมาไม่ปลอดภัย ทำให้แอพพลิเคชั่นหลายตัวต้องแก้ปัญหากันเอง ผลกระทบสุงสุดคงเป็นกลุ่มกระเป๋าเงิน BitCoin เพราะผู้ใช้ทั่วไปมักไม่ได้สร้างกุญแจลับกันบ่อยนัก

ทางโครงการแอนดรอยด์ออกมาระบุว่าบั๊กนี้ไม่มีผลต่อการใช้งาน HTTPS จากคลาส HttpClient และ java.net เพราะ OpenSSL ในกระบวนสร้างเลขสุ่มนั้นใช้กระบวนการอื่น สำหรับผู้ที่ใช้คลาส SecureRandom, KeyGenerator, KeyPairGenerator, KeyAgreement, และ Signature นั้นควรสำรวจความปลอดภัยและเตรียมการแก้ไขทั้งหมด

ตอนนี้แพตซ์นี้เข้าไปยังโครงการ OHA แล้ว แต่ระหว่างที่ผู้ผลิตต่างๆ ยังไม่รับแพตซ์นี้ส่งไปยังผู้ใช้ก็มีคลาส PRGNFixes ให้เรียกใช้งานเพื่อแก้ปัญหาไปก่อน

บั๊กนี้พบโดย Soo Hyeon Kim และ Dong Hoon Lee นักวิจัยความปลอดภัยจากเกาหลีใต้

ที่มา – Blognone Android Developers

Leave a Reply