Програми Coinbase для Android мають недолік безпеки, попереджає експерт

Канадський програміст опублікував, як він стверджує, вразливість у програмах Coinbase для Android, ONE може дозволити зловмиснику отримати повний доступ до облікового запису користувача.

Інженер-програміст Браян Стерн зайшов так далеко, що обережністькористувачам не використовувати програми Coinbase Bitcoin Wallet і Merchant для Android, доки проблему не буде вирішено, і порадив їм перевірити свої облікові записи на наявність підозрілої активності.

Однак з тих пір компанія відповіла Стерну на a потік Reddit заявивши, що вразливі місця не такі серйозні, як стверджує Стерн.

Стерн

, який працює над розробкою Android у Hootsuite, сказав, що привернув увагу Coinbase до цієї проблеми через їхню програму винагороди за помилки «white hat» на початку березня, але виникли розбіжності щодо серйозності проблеми.

Виявивши свою проблему в останній версії програми, він вирішив оприлюднити інформацію 27 червня в надії, що будуть вжиті швидкі заходи.

Він написав:

«Я T маю на увазі нічого поганого, публікуючи це, але мене засмучує те, що деякі виправлення безпеки, які можуть потребувати, можливо, 20 годин [розробки], щоб реалізувати їх і нібито були на дорожній карті 3 місяці тому, ще не розглянуто».

Питання під рукою

За словами Стерна, нижчий рівень безпеки в програмах Android може дозволити перехоплювачам запускати атаку «людина посередині» (MITM) на користувачів. Він писав у своєму звіті:

«Coinbase розумно рекомендує, щоб усі клієнти їхнього API перевіряли наданий сертифікат SSL, щоб запобігти атакам MITM. Однак вони не роблять цього у своїх власних програмах для Android».

Завдяки цьому зловмисник може представити «підроблений» SSL-сертифікат (будь-який із дійсним підписом, але від іншого центру підпису, ніж ONE використовує Coinbase) і перехопити зв’язок.

The client_id і client_secretелементи, частина API програми, яка має бути Secret, чітко видно у вихідному коді Coinbase, опублікованому на GitHub, продовжив Стерн. Потім вони будуть виявлені під час процесу автентифікації користувача та нададуть хакеру надзвичайно важливий access_token.

Після встановлення атаки та викраденого токена зловмисний хакер може пізніше робити запити API від імені користувача, фактично переймаючи повний контроль над його обліковим записом.

Стерн рекомендував змінити Coinbase client_id і client_secret і KEEP їх конфіденційними в майбутньому. Він також рекомендував усім програмам перевіряти SSL-з’єднання належним чином, а також використовувати покращений процес автентифікації Coinbase API і припинити використання ONE.

Coinbase

сказав, що загроза була лише ONE , а атака може бути успішною лише за певних, але малоймовірних обставин.

Client_id і client_secret За словами представника компанії, вони мали бути загальнодоступними, а не захистом від хакерських атак, і хоча закріплення SSL може допомогти проти деяких атак, це не захист від усіх зловмисних програм чи локальної модифікації сертифікатів.

Програма баунті

Після того, як 14 березня Coinbase спочатку відхилила його претензії, Стерн написав чернетку допису в блозі, попереджаючи громадськість про проблему, і відправив її в компанію в квітні.

Це теж було відхилено, тому він відкрив a звіт на HackerOne, сайт, де етичні хакери, незадоволені існуючими програмами винагороди, можуть приватно розкривати вразливості.

Coinbase заплатив Стерну 100 доларів, але сказав, що не вирішить проблему, що змусило HackerOne оприлюднити звіт. Коли він виявив, що проблема все ще не вирішена в останній версії (2.2) програм Coinbase, Стерн вирішив опублікувати звіт у своєму блозі.

Coinbase програма баунті платить мінімум 1000 доларів у Bitcoin кожному, хто зможе знайти дійсну дірку в безпеці в її коді, але компанія «залишає за собою право вирішувати, чи досягнуто мінімального порогу серйозності».

Компанія у квітні відповів до заяв у березні, що його функція «Request гроші» робить користувачів уразливими спроби фішингу. Ця функція дозволяла користувачеві дізнатися, чи була адреса електронної пошти прикріплена до облікового запису Coinbase, ввівши її в поле пошуку.

Зображення через watcharakun / Shutterstock