Android SecureRandom漏洞詳解
0x00 漏洞概述
Android 4.4之前版本的Java加密架構(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom實現存在安全漏洞,具體位於
classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java
類的engineNextBytes函式里,當使用者沒有提供用於產生隨機數的種子時,程式不能正確調整偏移量,導致PRNG生成隨機序列的過程可被預測。
漏洞檔案見文後連結1。
0x01 漏洞影響
2013年8月份的比特幣應用被攻擊也與這個漏洞相關。比特幣應用裡使用了ECDSA 演算法,這個演算法需要一個隨機數來生成簽名,然而生成隨機數的演算法存在本文提到的安全漏洞。同時這個ECDSA演算法本身也有漏洞,在這個事件之前索尼的PlayStation 3 master key事件也是利用的這個演算法漏洞。
本文主要介紹SecureRandom漏洞,關於ECDSA演算法漏洞可以自行閱讀下面的資料。
ECDSA演算法的細節:
http://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Security
防範措施:http://tools.ietf.org/html/rfc6979
Google group上關於PlayStation 3 master key事件如何利用ECDSA演算法漏洞獲取私鑰的討論:
https://groups.google.com/forum/?fromgroups=#!topic/sci.crypt/3isJl28Slrw
0x02 SecureRandom技術實現
在java裡,隨機數是透過一個初始化種子來生成的。兩個偽隨機數噪聲生成器(PRNG)例項,如果使用相同的種子來初始化,就會得到相同的隨機序列。Java Cryptography Architecture裡提供了幾個加密強度更大的PRNGs,這些PRNGs是透過SecureRandom介面實現的。
java.security.SecureRandom這個類本身並沒有實現偽隨機數生成器,而是使用了其他類裡的實現。因此SecureRandom生成的隨機數的隨機性、安全性和效能取決於演算法和熵源的選擇。
控制SecureRandom API的配置檔案位於$JAVA_HOME/jre/lib/security/java.security。比如我們可以配置該檔案裡的securerandom.source屬性來指定SecureRandom中使用的seed的來源。比如使用裝置相關的源,可以這樣設定:
securerandom.source=file:/dev/urandom
securerandom.source=file:/dev/random
關於SecureRandom具體技術細節可參看文章最後參考連結2。
現在重點看下SecureRandomSpi抽象類。參考連結3。該抽象類為SecureRandom類定義了功能介面,裡面有三個抽象方法engineSetSeed,engineGenerateSeed,and engineNextBytes。如果Service Provider希望提供加密強度較高的偽隨機數生成器的功能,就必須實現這三個方法。
然而Apache Harmony 6.0M3及其之前版本的SecureRandom實現中engineNextBytes函式存在安全漏洞。
0x03 Apache Harmony’s SecureRandom實現
Apache Harmony 是2005年以Apache License釋出的一個開源的java核心庫。雖然2011年以後已宣佈停產,但是這個專案作為Google Android platform的一部分繼續被開發維護。
Apache Harmony's SecureRandom實現演算法如下:
Android裡的PRNG使用SHA-1雜湊演算法、作業系統提供的裝置相關的種子來產生偽隨機序列。隨機數是透過三部分(internal state即seed+counter+ padding)反覆雜湊求和計算產生的。如下圖
其中計數器counter從0開始,演算法每執行一次自增一。counter和padding部分都可以稱為buffer。Padding遵守SHA-1的填充格式:最後的8 byte存放要hash的值的長度len,剩下的部分由一個1,後面跟0的格式進行填充。最後返回Hash後的結果,也就是生成的偽隨機序列。
0x04 Apache Harmony’s SecureRandom漏洞細節
當使用無參建構函式建立一個SecureRandom例項,並且在隨後也不使用setSeed()進行初始化時,插入一個起始值後,程式碼不能正確的調整偏移量(byte offset,這個offset是指向state buffer的指標)。這導致本該附加在種子後面的計數器(8 byte)和padding(起始4 byte)覆蓋了種子的起始12 byte。熵的剩下8 byte(20 byte的種子中未被覆蓋部分),使得PRNG加密應用無效。
在資訊理論中,熵被用來衡量一個隨機變數出現的期望值。熵值越低越容易被預測。熵值可以用位元來表示。關於熵的知識請參考:http://zh.wikipedia.org/wiki/熵_(資訊理論)
下面這張圖可以形象的表述這個過程:
0x05 漏洞修復
Google已經發布了patch,看下Diff檔案:
修復前:
修復後:
對於普通開發者來講,可以使用下面連結中的方式進行修復。
http://android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.html
0x06 參考連結
https://android.googlesource.com/platform/libcore/+/kitkQ- 相關文章
- android WebView詳解,常見漏洞詳解和安全原始碼AndroidWebView原始碼
- ROP漏洞詳解和利用
- 檔案上傳(解析)漏洞詳解
- Android AsyncTask 詳解Android
- Android:動畫詳解Android動畫
- Android拖拽詳解Android
- Android:Service詳解Android
- Android Notification 詳解Android
- Android WebView 詳解AndroidWebView
- Android – Drawable 詳解Android
- Android RecyclerView詳解AndroidView
- Android Proguard 詳解Android
- android service詳解Android
- Android Service詳解(二)Android
- Android Service詳解(一)Android
- Android 向量圖詳解Android
- Android元件詳解—TextViewAndroid元件TextView
- Android-Service詳解Android
- Android Gson使用詳解Android
- Android Paint 使用詳解AndroidAI
- Android HttpURLConnection詳解AndroidHTTP
- Android AsyncTask使用詳解Android
- Android webview使用詳解AndroidWebView
- Android混淆(Proguard)詳解Android
- Android Handler原理詳解Android
- Android ViewPager使用詳解AndroidViewpager
- Cordova android框架詳解Android框架
- Android Notification 通知詳解Android
- android StartActivityForResult()方法詳解Android
- Android呼叫WebService詳解AndroidWeb
- “水滴”來襲:詳解Binder核心通殺漏洞
- [Android]Android Activity 啟動模式詳解Android模式
- Android---Android:windowSoftInputMode屬性詳解AndroidWindows
- Java如何生成隨機數 - Random、ThreadLocalRandom、SecureRandomJava隨機randomthread
- 詳解NSURLCache快取引發的安全漏洞快取
- Android工程gradle詳解AndroidGradle
- Android BroadcastReceiver使用詳解AndroidAST
- Android AIDL使用詳解AndroidAI