Найдена уязвимость в защите приложения Coinbase для Android
- 1 558
- 0
Канадский программист Брайан Стерн заявляет о том, что ему удалось найти уязвимость в защите приложения Coinbase для ОС Android, которая способна привести к тому, что злоумышленник овладеет полным доступом к пользовательскому аккаунту. Стерн призывает пользователей приостановить свою работу с этим приложением до тех пор, пока проблема не будет решена. Представители Coinbase уже отреагировали на заявления Стерна, отметив, что проблема не является настолько серьезной.
По словам Стерна, работающего программистом в компании Hotsuite, он связывался с Coinbase еще в начале марта, однако руководство биткоин-компании отказывалось воспринимать данную проблему серьезно. После того, как в обновленной версии приложения Coinbase, выпущенной 27 июня, неполадки не были устранены, Стерн решил сделать публичное заявление. Он также добавил: «Я не хочу каким-либо образом навредить Coinbase, но меня раздражает тот факт, что сотрудники компании в течение трех месяцев не могут уделить и дня решению данной проблемы».
В сообщении Стерна речь идет об уязвимости в защите протокола SSL, которая может привести к MITM-атаке и овладению доступом к пользовательскому аккаунту. Стерн рассказывает: «Coinbase рекомендует своим пользователям активировать свой SSL протокол, который защищает от подобных атак. Однако мало кто делает это на своих устройствах. Таким образом, хакер может сам предоставить другую версию протокола и перехватывать все исходящие данные». Стерн также добавил, что такие части исходного кода приложения Coinbase как client_id и client_secret находятся в открытом доступе на сервисе Github, и могут быть использованы хакерами во время процесса аутентификации. Таким образом, зная вышеописанные данные, а также совершив MITM-атаку, злоумышленник может полностью завладеть пользовательскими данными и контролем над его аккаунтом.
Стерн порекомендовал специалистам Coinbase изменить некоторые части исходного кода, а также скрыть их. В ответ, программисты Coinbase заявили о том, что подобные атаки маловероятны и могут произойти только лишь при невероятном стечении обстоятельств. Кроме того, по задумке компании, части client_id и client_secret с самого начала должны были находиться в открытом доступе. Отметим, что представители Coinbase отказались давать какие-либо дальнейшие комментарии по данному вопросу.
Дата публикации: 01.07.2014
Здесь еще не было комментариев.