Sicherheitslücken durch einen schwachen PRNG in Dart/Flutter
Die Forschung von Zellic hat mehrere Sicherheitslücken aufgedeckt, die durch einen schwachen Pseudozufallszahlengenerator (PRNG) in Dart/Flutter verursacht wurden. Ein Fehler bei der Initialisierung der Funktion `Random()` im Dart SDK führte zu unzureichender Entropie in den generierten Schlüsseln, wodurch sie anfällig für Brute-Force-Angriffe wurden. Dies ermöglichte es Angreifern, leicht auf den Dart Tooling Daemon zuzugreifen und so Arbeitsbereichsdateien zu lesen oder zu schreiben und sogar beliebigen Code auszuführen. Darüber hinaus waren die Projekte Proton Wallet und SelfPrivacy ebenfalls von diesem schwachen PRNG betroffen und erlitten Verschlüsselungsschwachstellen und Probleme mit vorhersehbaren Passwörtern. Obwohl die Schwachstelle behoben wurde, werden Entwickler dringend aufgefordert, bei der Verwendung der Funktion `Random()` Vorsicht walten zu lassen und `Random.secure()` zu verwenden, wenn kryptografisch sichere Zufallszahlen benötigt werden.
Mehr lesen