Эксперт предупреждает, что приложения Coinbase для Android имеют уязвимость безопасности

Канадский программист опубликовал информацию об уязвимости в приложениях Coinbase для Android, ONE , по его словам, может позволить злоумышленнику получить полный доступ к учетной записи пользователя.

Инженер-программист Брайан Стерн зашел так далеко, чтоосторожностьпользователям не использовать приложения Coinbase Bitcoin Wallet и Merchant для Android, пока проблема не будет устранена, и рекомендовали им проверять свои аккаунты на предмет подозрительной активности.

Однако с тех пор компания ответила Стерну вветка reddit заявив, что уязвимости не столь серьезны, как утверждает Стерн.

Стерн

, работающий над разработкой Android в компании Hootsuite, сообщил, что в начале марта он привлек внимание Coinbase к этой проблеме через их «белую» программу вознаграждения за обнаружение ошибок, но возникли разногласия относительно серьезности проблемы.

Обнаружив проблему в последней версии приложения, он решил опубликовать информацию об этом публично 27 июня в надежде, что будут приняты оперативные меры.

Он написал:

«Я T хочу никого обидеть, публикуя это, но я разочарован тем, что некоторые исправления безопасности, реализация которых может потребовать около 20 часов [разработки] и которые, как утверждается, были включены в дорожную карту 3 месяца назад, до сих пор не выполнены».

Рассматриваемая проблема

Стерн сказал, что более низкий уровень безопасности в приложениях Android может позволить злоумышленникам запустить атаку «человек посередине» (MITM) против пользователей. Он написал в своем отчете:

«Coinbase разумно рекомендует всем клиентам своего API проверять предоставленный SSL-сертификат для предотвращения атак MITM. Однако они не делают этого в своих собственных приложениях Android».

Благодаря этому злоумышленник может предоставить «поддельный» SSL-сертификат (любой сертификат с действительной подписью, но от другого органа подписи, нежели ONE использует Coinbase) и перехватить сообщения.

Theклиент_id и клиент_секретЭлементы, часть API приложения, которые должны быть Secret, находятся на виду в исходном коде Coinbase, опубликованном на GitHub, продолжил Стерн. Затем они будут раскрыты во время процесса аутентификации пользователя и предоставят хакеру крайне важный access_token.

После обнаружения атаки и использования украденного токена злоумышленник может позднее отправлять запросы API от имени пользователя, по сути, получая полный контроль над его учетной записью.

Стерн рекомендовал изменить Coinbaseклиент_id и клиент_секрет и KEEP их конфиденциальность в будущем. Он также рекомендовал всем приложениям правильно проверять SSL-соединения и использовать улучшенный процесс аутентификации Coinbase API и прекратить использовать ONE.

Coinbase

заявил, что угроза ONE , а успешное нападение может быть осуществлено только при определенном, но маловероятном стечении обстоятельств.

Client_id и клиент_секретПредставитель компании заявил, что эти сертификаты должны быть общедоступными и не должны использоваться для защиты от хакерских атак. И хотя SSL-закрепление может помочь от некоторых атак, оно не является защитой от всех вредоносных программ или локальной модификации сертификатов.

Программа вознаграждения за обнаруженные ошибки

После того, как 14 марта Coinbase первоначально отклонила его заявления, Стерн написал черновик сообщения в блоге, предупреждая общественность об этой проблеме, и отправил его в компанию в апреле.

Это также было отклонено, поэтому он открылотчет о HackerOne, сайт, на котором этичные хакеры, недовольные существующими программами вознаграждения, могут конфиденциально раскрывать информацию об уязвимостях.

Coinbase заплатила Стерну $100, но заявила, что не будет исправлять проблему, что побудило HackerOne сделать отчет публичным. Когда он обнаружил, что проблема все еще не исправлена в последней версии (2.2) приложений Coinbase, Стерн решил опубликовать отчет в своем блоге.

Coinbase'sпрограмма вознаграждения за найденные ошибки выплачивает минимум 1000 долларов в Bitcoin любому, кто сможет найти реальную уязвимость в ее коде, но компания «оставляет за собой право решать, достигнут ли минимальный порог серьезности».

Компания в апрелеответил к заявлениям в марте о том, что функция «Request денег» сделала пользователей уязвимыми для попытки фишинга. Эта функция позволяла пользователю узнать, был ли адрес электронной почты прикреплен к учетной записи Coinbase, введя его в поле поиска.

Изображение черезвотчаракун/Шаттерсток