Một lập trình viên người Canada đã công bố những gì ông tuyên bố là một lỗ hổng trong các ứng dụng Android của Coinbase, một ứng dụng có thể cho phép kẻ tấn công truy cập đầy đủ vào tài khoản của người dùng.

Kỹ sư phần mềm Bryan Stern đã đi quá xa để cảnh báo người dùng không sử dụng Wallet Coinbase Wallet và ứng dụng Người bán cho Android cho đến khi vấn đề được khắc phục và khuyên họ nên kiểm tra tài khoản của họ về hoạt động đáng ngờ.

Tuy nhiên, công ty kể từ khi trả lời Stern trong một thread reddit nói rằng các lỗ hổng không nghiêm trọng như tuyên bố của Stern.

Stern, người làm việc về phát triển Android tại Hootsuite, cho biết ông đã đưa vấn đề này vào sự chú ý của Coinbase thông qua chương trình bounty lỗi mũ trắng vào đầu tháng 3, nhưng đã có sự bất đồng về mức độ nghiêm trọng của vấn đề.

Khi phát hiện ra vấn đề của anh ta có trong phiên bản mới nhất của ứng dụng, anh ta đã quyết định công bố thông tin công khai vào ngày 27 tháng 6 với hy vọng rằng hành động nhanh sẽ được thực hiện.

Ông ta đã viết: Tôi không có ý làm hại bài này, nhưng tôi cảm thấy thất vọng rằng một số bản sửa lỗi bảo mật có thể yêu cầu 20 giờ phát triển để thực hiện và bị cáo buộc là trên lộ trình 3 tháng trước không chưa được giải quyết ".

Vấn đề đang xảy ra

Mức độ bảo mật thấp hơn trong các ứng dụng Android có thể cho phép kẻ nghe trộm tấn công người sử dụng" tấn công người sử dụng "(MITM). Ông viết trong báo cáo của mình:

"Coinbase khôn khéo khuyên tất cả các khách hàng của API của họ phải chứng thực chứng chỉ SSL được trình bày để ngăn chặn các cuộc tấn công của MITM. Tuy nhiên, họ không thực hiện điều này trong ứng dụng Android của họ". , kẻ tấn công có thể đưa ra giấy chứng nhận SSL 'giả mạo' (bất cứ điều gì có chữ ký hợp lệ nhưng từ một cơ quan ký kết khác cho một Coinbase sử dụng) và đánh chặn việc liên lạc.

Các mục

client_id

client_secret , một phần của API của ứng dụng cần được bí mật, rõ ràng được xem trong mã nguồn của Coinbase được xuất bản trên GitHub, Stern cho biết. Sau đó chúng sẽ được tiết lộ trong quá trình xác thực của người dùng và cung cấp một hacker với access_token quan trọng. Với một cuộc tấn công được thiết lập, cộng với mã thông báo bị đánh cắp này, một hacker độc hại có thể làm cho yêu cầu API sau đó thay mặt cho người dùng - chủ yếu kiểm soát hoàn toàn tài khoản của họ. Stern khuyến cáo Coinbase thay đổi

client_id

client_secret và giữ bí mật trong tương lai. Ông cũng đề nghị tất cả các ứng dụng xác thực kết nối SSL đúng cách, và họ sử dụng quá trình xác thực cải tiến của Coinbase API và ngừng sử dụng một trong những phản ứng không được chấp nhận. Coinbase nói rằng mối đe dọa chỉ là một con nhỏ, và một cuộc tấn công chỉ có thể được thực hiện thành công trong một hoàn cảnh cụ thể nhưng không chắc. Client_id

client_secret được dự định công khai chứ không phải phòng thủ chống lại các cuộc tấn công của hack, một đại diện của công ty cho biết, và trong khi SSL Pinning có thể giúp chống lại một số cuộc tấn công, hoặc thay đổi địa phương của giấy chứng nhận. Chương trình bồi thường lỗi Sau khi nhận được yêu cầu bồi thường ban đầu của mình bị Coinbase từ chối vào ngày 14 tháng 3, Stern đã viết một bản thảo blog đăng cảnh báo cho công chúng về vấn đề này và gửi nó cho công ty vào tháng Tư.

Điều này cũng bị từ chối, vì vậy ông đã mở một báo cáo về HackerOne, một trang web mà các hacker đạo đức không hài lòng với các chương trình bounty hiện có thể tiết lộ các lỗ hổng riêng tư.

Coinbase đã thanh toán cho Stern $ 100 nhưng nói rằng nó sẽ không sửa vấn đề này, dẫn HackerOne đưa ra báo cáo công khai. Khi phát hiện ra vấn đề vẫn chưa được khắc phục trong phiên bản mới nhất (2. 2) của các ứng dụng của Coinbase, Stern đã quyết định xuất bản báo cáo trên blog của mình.

Chương trình Bounty Bounty của Coinbase thanh toán tối thiểu $ 1,000 cho bitcoin cho bất kỳ ai có thể tìm thấy lỗ hổng bảo mật hợp lệ trong mã của nó, nhưng công ty "có quyền quyết định ngưỡng tối thiểu về mức độ nghiêm trọng được đáp ứng hay không".

Công ty hồi tháng 4 đã phản hồi yêu cầu hồi tháng 3 rằng tính năng "Yêu cầu Tiền" của họ khiến người dùng dễ bị lừa đảo. Tính năng cho phép người dùng tìm ra địa chỉ email đã được đính kèm với một tài khoản Coinbase bằng cách nhập nó vào một trường tìm kiếm.

Hình ảnh qua watcharakun / Shutterstock