Dart/Flutterの脆弱なPRNGに起因するセキュリティ脆弱性
2024-12-13
Zellicの調査により、Dart/Flutterの脆弱な疑似乱数生成器(PRNG)に起因する複数のセキュリティ脆弱性が明らかになりました。Dart SDK内の`Random()`関数の初期化方法に欠陥があり、生成されたキーのエントロピーが不十分になり、ブルートフォース攻撃に対して脆弱になりました。これにより、攻撃者はDart Tooling Daemonに容易にアクセスし、ワークスペースファイルの読み書き、さらには任意のコードの実行が可能になります。さらに、Proton WalletとSelfPrivacyプロジェクトもこの脆弱なPRNGの影響を受け、暗号化の脆弱性と予測可能なパスワードの問題が発生しました。脆弱性は修正されましたが、開発者は`Random()`関数の使用に注意し、暗号学的に安全な乱数が必要な場合は`Random.secure()`を使用することを強く推奨します。
開発