Le app Android di Coinbase hanno falle di sicurezza, avverte un esperto

Un programmatore canadese ha pubblicato quella che lui sostiene essere una vulnerabilità nelle app Android di Coinbase, ONE potrebbe consentire a un aggressore di ottenere l'accesso completo all'account di un utente.

L'ingegnere informatico Bryan Stern è arrivato al punto diAttenzioneagli utenti di non utilizzare le app Coinbase Bitcoin Wallet e Merchant per Android finché il problema non sarà risolto e di controllare i propri account per individuare eventuali attività sospette.

Tuttavia, da allora la società ha risposto a Stern in undiscussione di redditaffermando che le vulnerabilità non erano così gravi come sostiene Stern.

Poppa

, che lavora allo sviluppo Android presso Hootsuite, ha affermato di aver portato il problema all'attenzione di Coinbase tramite il loro programma bug bounty "white hat" all'inizio di marzo, ma che c'era stato un disaccordo sulla gravità del problema.

Dopo aver scoperto che il problema era presente nell'ultima versione dell'app, ha deciso di rendere pubblica l'informazione il 27 giugno, nella speranza che venissero presi provvedimenti tempestivi.

Ha scritto:

"T ho intenzione di fare del male a nessuno postando questo, ma sono frustrato dal fatto che alcune correzioni di sicurezza che potrebbero richiedere forse 20 ore [di sviluppo] per essere implementate e che erano presumibilmente sulla tabella di marcia di 3 mesi fa non siano ancora state affrontate."

Il problema in questione

Un livello di sicurezza inferiore nelle app Android potrebbe consentire agli intercettatori di lanciare un attacco "man in the middle" (MITM) contro gli utenti, ha affermato Stern. Ha scritto nel suo rapporto:

"Coinbase consiglia saggiamente a tutti i client della propria API di convalidare il certificato SSL presentato per prevenire attacchi MITM. Tuttavia, non riescono a farlo nelle proprie applicazioni Android."

Grazie a ciò, un aggressore potrebbe presentare un certificato SSL "falsificato" (qualsiasi certificato con una firma valida ma proveniente da un'autorità di firma diversa da ONE utilizzata da Coinbase) e intercettare le comunicazioni.

IL ID cliente E segreto_clienteelementi, parte dell'API dell'applicazione che dovrebbe essere Secret, sono in bella vista nel codice sorgente di Coinbase pubblicato su GitHub, ha continuato Stern. Questi verrebbero poi rivelati durante il processo di autenticazione di un utente e fornirebbero a un hacker l'importantissimo access_token.

Una volta stabilito un attacco e rubato questo token, un hacker malintenzionato potrebbe in un secondo momento effettuare richieste API per conto dell'utente, assumendo sostanzialmente il controllo totale del suo account.

Stern ha consigliato il cambio di CoinbaseID cliente E segreto_cliente e KEEP riservati in futuro. Ha anche raccomandato a tutte le app di convalidare correttamente le connessioni SSL e di utilizzare il processo di autenticazione migliorato dell'API Coinbase e di smettere di utilizzare ONE deprecato.

Base monetaria

ha affermato che la minaccia era di lieve ONE e che un attacco poteva essere portato a termine con successo solo in una serie di circostanze specifiche, ma improbabili.

ID cliente E segreto_clienteerano concepiti per essere pubblici e non per difendersi dagli attacchi degli hacker, ha affermato un rappresentante dell'azienda, e sebbene l'SSL Pinning possa aiutare contro alcuni attacchi, non costituisce una difesa contro tutti i malware o le modifiche locali dei certificati.

Programma bug bounty

Dopo che le sue affermazioni erano state inizialmente respinte da Coinbase il 14 marzo, Stern ha scritto una bozza di post sul blog per avvisare il pubblico del problema e l'ha inviata all'azienda ad aprile.

Anche questa è stata respinta, quindi ha aperto unsegnala su HackerOne, un sito in cui gli hacker etici insoddisfatti dei programmi di ricompensa esistenti possono rivelare privatamente le proprie vulnerabilità.

Coinbase ha pagato a Stern 100 $ ma ha detto che non avrebbe risolto il problema, portando HackerOne a rendere pubblico il rapporto. Quando ha scoperto che il problema non era ancora stato risolto nell'ultima versione (2.2) delle app di Coinbase, Stern ha deciso di pubblicare il rapporto sul suo blog.

Di Coinbaseprogramma di ricompensa per bug paga un minimo di 1.000 $ in Bitcoin a chiunque riesca a trovare una valida falla di sicurezza nel suo codice, ma la società "si riserva il diritto di decidere se viene raggiunta la soglia minima di gravità".

L'azienda ad aprileha risposto alle affermazioni di marzo secondo cui la sua funzione "Request denaro" ha reso gli utenti vulnerabili a tentativi di phishingLa funzionalità consentiva a un utente di scoprire se un indirizzo email era associato a un account Coinbase inserendolo in un campo di ricerca.

Immagine tramiteGuardare/Immagine