Topic: C'è una qualche vulnerabilità legata alla app blockchain.info per Android (Read 1394 times)
June 08, 2015, 01:25:56 PM
è così sbagliato su così tanti livelli di astrazione che mi viene solo da ridere
May 29, 2015, 01:57:00 AM
1) È uscita un'upgrade della app ( http://blog.blockchain.com/2015/05/28/android-wallet-security-update/ )
2) Hanno reso i soldi all'utente ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/ )
Quindi direi che è ovviamente un problema di blockchain.info
Nel thread reddit ci sono altri 3 casi di gente che ha perso soldi con quell'app, di cui uno ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/crohnq4 ) sembra praticamente identico al caso di ziomik
Finora ero nello status "va bene per tenerci gli spiccioli", passo allo status "evitare come la peste"
MA COME CACCHIO SI FA!!!!!
Usavano dati letti (in chiaro) da random.org per aiutare a generare il seme casuale
MILLE COSE CHE POSSONO ANDARE STORTE!
2) Hanno reso i soldi all'utente ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/ )
Quindi direi che è ovviamente un problema di blockchain.info
Nel thread reddit ci sono altri 3 casi di gente che ha perso soldi con quell'app, di cui uno ( https://www.reddit.com/r/Bitcoin/comments/37nlg1/i_was_the_guy_who_lost_6_btc_using_blockchaininfo/crohnq4 ) sembra praticamente identico al caso di ziomik
Finora ero nello status "va bene per tenerci gli spiccioli", passo allo status "evitare come la peste"
Code:
public class RandomOrgGenerator {
....
URL url = new URL("http://www.random.org/cgi-bin/randbyte?nbytes="+length+"&format=f");
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
connection.setRequestMethod("GET");
....
URL url = new URL("http://www.random.org/cgi-bin/randbyte?nbytes="+length+"&format=f");
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
connection.setRequestMethod("GET");
MA COME CACCHIO SI FA!!!!!
Usavano dati letti (in chiaro) da random.org per aiutare a generare il seme casuale
MILLE COSE CHE POSSONO ANDARE STORTE!
May 28, 2015, 11:50:19 PM
Penso sia incredibile che app con questa visibilità e per il pubblico di riferimento possano avere bug simili..
1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
Si sono rubati più di 33 BTC,
amareggiato..
1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
Si sono rubati più di 33 BTC,
amareggiato..
May 28, 2015, 07:34:00 PM
E' uscito un aggiornamento dell'app, per chi ancora la usa.
May 28, 2015, 01:03:22 PM
Beh se la app non è tarocca, ma quella originale messa da blockchain e i btc che arrivano vengono subito portati via, allora o chi ha messo l'app aveva in precedenza qualche malware sul cell, oppure non so cosa pensare, perchè alla malafede dell'app non penso, magari qualche bug?
May 28, 2015, 03:40:51 AM
quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??
O meglio , è estremamente pericoloso usare blockchain.info.... e basta.
ma perche?
May 28, 2015, 02:33:07 AM
Beh se ci sono 3 casi, direi che la cosa non è da sottovalutare.
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)
Certamente, vengono immediatamente portati via
Sembra che la app non sia tarocca, (scaricata da play ecc.)
May 27, 2015, 01:48:29 PM
quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??
O meglio , è estremamente pericoloso usare blockchain.info.... e basta.
May 27, 2015, 01:46:36 PM
Beh se ci sono 3 casi, direi che la cosa non è da sottovalutare.
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)
Ma i btc mandati a quell'indirizzo, vengo usati da qualcuno ? Perchè in questo caso, come ha detto anche ziomik) potrebbero essere malware sui cell (oppure una versione tarocca dell'app?)
May 27, 2015, 09:57:49 AM
quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??
"Estremamente" no, io continuo ad usarla per avere "spiccioli" sul cellulare.
Diciamo che probabilmente è arrivato il momento di passare ad altro (ad es. Mycelium)
E comunque non terrei mai cifre anche vagamente serie su un Android
May 27, 2015, 09:48:37 AM
quindi - aspettate - mi state dicendo che è estremamente pericoloso usare l'app di blockchain??
May 27, 2015, 04:56:31 AM
Ricordavo il tuo post, non ricordavo che fosse la app di blockchain
May 27, 2015, 04:43:17 AM
Per quanto mi riguarda, sono quasi felice che ci siano altri problemi per questa app per android. (anche se il problema potrebbe essere qualche malware installato sul terminale).
Ad ogni modo esistono app migliori.
Ricordo quanto capitato a me un annetto fa: https://bitcointalksearch.org/topic/cedo-il-10-del-contenuto-android-blockchaininfo-e-il-suo-fottuto-pin-790577
Ad ogni modo esistono app migliori.
Ricordo quanto capitato a me un annetto fa: https://bitcointalksearch.org/topic/cedo-il-10-del-contenuto-android-blockchaininfo-e-il-suo-fottuto-pin-790577
May 27, 2015, 04:14:13 AM
Ci sono oramai 3 casi di un problema con la app android di blockchain.info, in cui la funzione "genera nuovo indirizzo" crea un indirizzo NON random ( 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F ). Appena l'utente riceve soldi su quell'indirizzo, ovviamente qualcuno glie li soffia
Caso di marzo: (non dice esplicitamente sia blockchain.info ma l'indirizzo è quello)
https://bitcointalksearch.org/topic/need-analysis-on-possible-hack-980970
Casi degli ultimi giorni:
https://bitcointalksearch.org/topic/how-was-my-mobile-wallet-hacked-1065804
https://www.reddit.com/r/Bitcoin/comments/37ei2b/ive_just_been_hacked_6_btc_to/
Il caso è strano, sembra siano telefoni non rootati, all'inizio poteva sembrare un problema con il generatore di numeri casuali, ma adesso direi che in qualche modo c'è un malware o che che induce la app a "generare" l'indirizzo
Quindi, se usate quella app ATTENZIONE!
Cambiate app, o per lo meno controllate che gli indirizzi generati non abbiano storia precedente!!
Caso di marzo: (non dice esplicitamente sia blockchain.info ma l'indirizzo è quello)
https://bitcointalksearch.org/topic/need-analysis-on-possible-hack-980970
Casi degli ultimi giorni:
https://bitcointalksearch.org/topic/how-was-my-mobile-wallet-hacked-1065804
https://www.reddit.com/r/Bitcoin/comments/37ei2b/ive_just_been_hacked_6_btc_to/
Il caso è strano, sembra siano telefoni non rootati, all'inizio poteva sembrare un problema con il generatore di numeri casuali, ma adesso direi che in qualche modo c'è un malware o che che induce la app a "generare" l'indirizzo
Quindi, se usate quella app ATTENZIONE!
Cambiate app, o per lo meno controllate che gli indirizzi generati non abbiano storia precedente!!
Jump to: