Один з найпопулярніших в світі криптографічного валюти Биткоин гаманців Blockchain випускає оновлення свого Android-додатки після виявлення критичної уразливості. З-за неї користувачі відправляють грошові перекази не за тією адресою, за якою їм потрібно, без попередження про це.

Уразливість зачіпає додаток для Android на версіях 4. 1 або більш старих. Тут використовується незашифроване HTTP з'єднання при доступі на сайт random. org для отримання випадкових чисел, необхідних для генерації приватних ключів адрес Биткоин. З січня random. org вимагає використання з'єднання HTTP і видає помилку при спробі зайти через HTTP. Результатом стало те, що вразливі додатки генерували ключі, відповідні одному адресою 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43f, незалежно від заданого користувачем адреси.

У деяких випадках генератор псевдовипадкових чисел у Blockchain на Android не отримував доступу до чисел, які повинні вбудовуватися в викачуються з random. org випадкові числа. Не повідомляючи про помилку, додаток використовувало 256-бітне число від random. org як засіб для генерації ключів, так що сайт був єдиним постачальником даних для генерації ключів.

Для генерації псевдовипадкових чисел використовувався програмний інтерфейс LinuxSecureRandom замість більш стандартного для Android-розробників SecureRandom. При цьому в одних користувачів систем до Android 4. 1 уразливості виявляються, а в інших ні.