Coinbase Android Apps turi saugumo sutrikimą, įspėja ekspertas | LT.democraziakmzero.org

Coinbase Android Apps turi saugumo sutrikimą, įspėja ekspertas

Coinbase Android Apps turi saugumo sutrikimą, įspėja ekspertas

Kanados programuotojas paskelbė tai, ką jis teigia, yra Coinbase Android Apps ", vienas, kad gali leisti įsilaužėliui gauti pilną priėjimą prie vartotojo sąskaitą pažeidžiamumas.

Programinės įrangos inžinierius Bryanas Sterno nuėjo taip toli, kad atsargiai vartotojai negali naudotis Coinbase Bitcoin Piniginės ir prekybininkai programas "Android", kol problema bus išspręsta, ir patarė juos patikrinti savo sąskaitas už įtartiną veiklą.

Tačiau bendrovė, nes atsakė į Stern į reddit temoje nurodant, kad pažeidžiamumas buvo ne taip rimtai, kaip teigia "Stern.

Sterno, kuris dirba ant Android plėtrai ne Hootsuite, sakė jam reikia atnešė klausimą į Coinbase dėmesio per savo "balta skrybėlė" klaidą Bounty programą kovo pradžioje, tačiau jau buvo nesutariant dėl ​​šio klausimo rimtumo.

Nustačius jo klausimą, esančių naujausią programos versiją, jis nusprendė išleisti informaciją viešai birželio 27 d tikintis, kad būtų imtasi skubių veiksmų.

Jis parašė:

"Aš nenoriu pasakyti, jokios žalos parašėte tai, bet aš esu nusivylęs, kad kai kurie saugumo pataisymai, kad gali tekti gal 20 [plėtra] valandų įgyvendinti ir tariamai susijęs su veiksmų planu prieš 3 mėn dar nebuvo skirta."

Svarstomas klausimas

Žemesnio lygio saugumo Android apps gali leisti podsłuchem pradėti "žmogus viduryje" (MITM) užpuolimo vartotojų Stern pasakė. Jis rašė savo pranešime:

"Coinbase protingai rekomenduoja, kad visi jų API turėtų patvirtinti SSL sertifikatą klientai pateikti išvengti MITM atakas. Tačiau jie nesugeba tai padaryti savo" Android "programas."

Dėl to, užpuolikas gali pateikti "suklastota" SSL sertifikatą (nieko su galiojančiu pasirašymo, bet iš skirtingų pasirašymo institucijos į vieną Coinbase naudoja) ir sulaikyti komunikacijos.

Į client_idand client_secret daiktų, paraiškos dalis API, kad turėtų būti slaptos, yra aiškiai atsižvelgiant į Coinbase šaltinio kodą paskelbtas GitHub Stern toliau. Tai tada būtų atskleidė vartotojo autentifikavimo proceso metu ir suteikia hakeris su visa svarbi ACCESS_TOKEN.

Su atakos nustatyta, plius šio pavogtas, kenksminga įsilaužėlis galėtų pateikti prašymus API vėliau naudotojo vardu - iš esmės visapusiškai kontroliuoti savo sąskaitą.

Sterno rekomenduojama Coinbase Pakeisti client_idand client_secretand konfidencialia ateityje. Jis taip pat rekomenduojama visos programos tinkamai patvirtinti SSL, ir kad jie pasinaudoja Coinbase API pagerinti atpažinimo procesą ir sustabdyti naudojant nebenaudojamą vieną.

Coinbasesaid grėsmė buvo tik nepilnametis viena, ir ataka gali būti atliekamas tik sėkmingai pagal konkrečią, tačiau mažai tikėtina, nustatyti aplinkybes.

Client_idand client_secretwere skirtas būti vieša, o ne gynybos prieš Hack išpuolių, bendrovės atstovas sakė, ir nors SSL Prisegę gali padėti su kai kuriais išpuolių, tai buvo ne apsauga nuo visų kenkėjiškų programų ar vietos pakeitimo sertifikatus.

Re Bounty programa

Po to, kai savo reikalavimus iš pradžių atmetė Coinbase kovo 14 d Stern tada parašė dienoraštyje projektą įspėjimas visuomenę apie šią problemą ir pasiuntė jį į bendrovės balandžio mėnesį.

Tai taip pat buvo atmestas, todėl jis atidarė ataskaitą HackerOne, vietoje, kur etikos įsilaužėliai nepatenkinti su esamais Bounty programų gali atskleisti pažeidžiamumai privačiai.

Coinbase mokama Stern 100 $, bet sakė, kad tai nebūtų nustatymo klausimą, todėl HackerOne padaryti ataskaitą visuomenę. Kai jis rado problemą dar nenustatyti naujausia versija (2.2) iš Coinbase anketa apps Stern nusprendė paskelbti ataskaitą apie savo dienoraštyje.

Coinbase anketa klaidą Bounty programpays minimalus 1000 $ per Bitcoin visiems, kurie gali rasti teisingą saugumo skylę jos kodas, tačiau bendrovė "pasilieka teisę nuspręsti, ar minimalus sunkumo riba susitiko".

Balandį respondedto pretenzijų bendrovė kovo, kad jos "Reikalauti pinigų" funkcija liko vartotojams pažeidžiamas bandymus sukčiauti. Ši funkcija leidžiama vartotojas išsiaiškinti, ar elektroninio pašto adresas buvo priskirtas prie Coinbase sąskaitą įvesdami jį į paieškos laukelį.

Susiję straipsniai


Post Valiutos keitykla

CFTC pasiekia susitarimą su Bitcoin apsikeitimo sandoriais TeraExchange

Post Valiutos keitykla

Jonas Schnelli nori paleisti Bitcoin visą mazgą

Post Valiutos keitykla

BitXatm praneša apie bankomatą su prekybininkų taupymo funkcija

Post Valiutos keitykla

Pietų Korėja, kaip pranešama, išplečia kripto mainus

Post Valiutos keitykla

Kinijos Bitcoin Ekosistema, kuriai netaikomas FXBTC biržos uždarymas

Post Valiutos keitykla

BitPay dabar turi daugiau nei 10 000 prekybininkų savo mokėjimo procesų tinkle

Post Valiutos keitykla

IRS stengiasi išlaikyti Coinbase nuo klientų duomenų gynimo

Post Valiutos keitykla

Didžiausia Rusijos birža naudoja Blockchain, norėdama paskatinti pasaulio investuotojus

Post Valiutos keitykla

10 Stock and Commodities Exchanges tiria Blockchain Tech

Post Valiutos keitykla

Think Tank Attacks IRS šaukimas į Coinbase mokesčių ginčą

Post Valiutos keitykla

Kaip sutaupyti Bitcoin didėjančias kainas

Post Valiutos keitykla

Coinbase IRS ginčas yra ne tik apie Bitcoin