C'è una qualche vulnerabilità legata alla app blockchain.info per Android

[serendib]

Ci sono oramai 3 casi di un problema con la app android di blockchain.info, in cui la funzione "genera nuovo indirizzo" crea un indirizzo NON random ( 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F ). Appena l'utente riceve soldi su quell'indirizzo, ovviamente qualcuno glie li soffia

Caso di marzo: (non dice esplicitamente sia blockchain.info ma l'indirizzo è quello)
https://bitcointalk.org/index.php?topic=980970

Casi degli ultimi giorni:
https://bitcointalk.org/index.php?topic=1065804

https://www.reddit.com/r/Bitcoin/comments/37ei2b/ive_just_been_hacked_6_btc_to/

Il caso è strano, sembra siano telefoni non rootati, all'inizio poteva sembrare un problema con il generatore di numeri casuali, ma adesso direi che in qualche modo c'è un malware o che che induce la app a "generare" l'indirizzo

Quindi, se usate quella app ATTENZIONE!

Cambiate app, o per lo meno controllate che gli  indirizzi generati non abbiano storia precedente!!

[ziomik]

Per quanto mi riguarda, sono quasi felice che ci siano altri problemi per questa app per android. (anche se il problema potrebbe essere qualche malware installato sul terminale).
Ad ogni modo esistono app migliori.

Ricordo quanto capitato a me un annetto fa: https://bitcointalk.org/index.php?topic=790577.0

[serendib]

Ricordavo il tuo post, non ricordavo che fosse la app di blockchain

[babo]

quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??

[serendib]

quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??

"Estremamente" no, io continuo ad usarla per avere "spiccioli" sul cellulare.

Diciamo che probabilmente è arrivato il momento di passare ad altro (ad es. Mycelium)

E comunque non terrei mai cifre anche vagamente serie su un Android

[lottoitaliano]

Beh se ci sono 3 casi, direi che la cosa non è da sottovalutare.
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)

[redsn0w]

quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??

O meglio , è estremamente pericoloso usare blockchain.info.... e basta.

[serendib]

Beh se ci sono 3 casi, direi che la cosa non è da sottovalutare.
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)

Certamente, vengono immediatamente portati via

Sembra che la app non sia tarocca, (scaricata da play ecc.)

[babo]

quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??

O meglio , è estremamente pericoloso usare blockchain.info.... e basta.

ma perche?

[lottoitaliano]

Beh se la app non è tarocca, ma quella originale messa da blockchain e i btc che arrivano vengono subito portati via, allora o chi ha messo l'app aveva in precedenza qualche malware sul cell, oppure non so cosa pensare, perchè alla malafede dell'app non penso, magari qualche bug?

[HostFat]

E' uscito un aggiornamento dell'app, per chi ancora la usa.

[LastRoby]

Penso sia incredibile che app con questa visibilità e per il pubblico di riferimento possano avere bug simili..

1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
Si sono rubati più di 33 BTC,

 amareggiato..

[serendib]

1) È uscita un'upgrade della app ( http://blog.blockchain.com/2015/05/28/android-wallet-security-update/ )

2) Hanno reso i soldi all'utente  ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/ )

Quindi direi che è ovviamente un problema di blockchain.info

Nel thread reddit ci sono altri 3 casi di gente che ha perso soldi con quell'app, di cui uno ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/crohnq4 ) sembra praticamente identico al caso di ziomik

Finora ero nello status "va bene per tenerci gli spiccioli", passo allo status "evitare come la peste"

Code:

public class RandomOrgGenerator {
....
URL url = new URL("http://www.random.org/cgi-bin/randbyte?nbytes="+length+"&format=f");
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
connection.setRequestMethod("GET");

MA COME CACCHIO SI FA!!!!!

Usavano dati letti (in chiaro) da random.org per aiutare a generare il seme casuale

MILLE COSE CHE POSSONO ANDARE STORTE!

[blackdev1l]

è così sbagliato su così tanti livelli di astrazione che mi viene solo da ridere