新浪科技訊 北京時間8月15日晚間消息，谷歌的開發人員確認，Android系統中存在一個密碼漏洞，可能會在大量終端應用中導致嚴重的安全問題。這些應用主要與比特幣交易有關。

　　上周有報道稱，黑客從一個數字錢包中竊取了價值5720美元的比特幣。這一黑客攻擊正是利用了Android這一Java密碼架構的漏洞。谷歌信息安全工程師埃里克斯·克柳賓(Alex Klyubin)在一篇博客中正式確認了Android的這一漏洞?？肆e同時警告稱，除非開發者改變訪問偽隨機碼生成器的方式，否則其他應用也可能被攻擊。

　　他表示：“我們已經確認，由于底層偽隨機碼生成器不恰當的初始化，使用Java密碼架構來進行密鑰生成、簽名，或隨機碼生成的應用可能無法通過Android設備獲得足夠強的密碼值。如果應用在Android設備上直接調用系統提供的OpenSSL偽隨機碼生成器，而沒有進行明確的初始化，那么也將受到影響?！?/p>

　　幾小時之前，賽門鐵克的信息安全研究員警告稱，數十萬Android應用都可能存在這一漏洞。根據賽門鐵克的統計，最多有36萬款應用依賴SecureRandom服務。這是一個由Java密碼架構提供的用于生成隨機數的程序服務。與此前報道不同，這一漏洞影響了所有版本的Android，而不僅僅是Android 4.2等少數幾個版本。

　　偽隨機碼生成器使計算機生成很長的數列，而這樣的數列是不可預測的。這是許多加密應用對系統的核心要求。這就像是擲骰子，最終出現的點數是不可預知的。偽隨機碼生成器生成的隨機數列可以確保，用于加密的密鑰或數字簽名數據不會被輕易獲得。

　　賽門鐵克的研究員表示，在近期的比特幣被竊事件中，受到攻擊的Android應用有可能使用了同一個數列對多筆交易簽名，但這一數列被應用認為是隨機的。報告稱：“由于交易在比特幣網絡中是公開的，攻擊者掃描了交易記錄，查找特定的交易，獲得了這一私有的密鑰，從而在用戶未授權的情況下從比特幣錢包中轉移了資金。”

　　谷歌在博客中建議開發者升級所有使用Java密碼架構的應用，同時重新生成此前使用Java密碼架構接口生成的加密密鑰或其他隨機值。這些Java密碼架構接口包括SecureRandom、KeyGenerator、KeyPairGenerator、KeyAgreement和Signthature。谷歌同時提供了示范代碼。

　　谷歌同時表示，谷歌的開發者已向手機廠商發布了補丁，但沒有說明這些升級將如何被安裝至終端用戶設備。谷歌在博客中強調了第三方開發者應當采取的措施。目前，已有至少4個比特幣錢包服務進行了升級，修復了這一漏洞。未來幾天中，預計大量應用都將進行同樣的升級。(張帆)