Coinbase Android Apps haben Sicherheitsfehler, Experte warnt | DE.democraziakmzero.org

Coinbase Android Apps haben Sicherheitsfehler, Experte warnt

Coinbase Android Apps haben Sicherheitsfehler, Experte warnt

Ein kanadischer Programmierer veröffentlicht, was er behauptet, eine Schwachstelle in Coinbase Android-Apps ist, eine, die ein Angreifer vollen Zugriff auf ein Benutzerkonto zu gewinnen.

Software Engineer Bryan Stern ging so weit, Benutzer zu warnen, nicht die Coinbase Bitcoin Wallet und Merchant-Apps für Android zu verwenden, bis das Problem behoben ist, und riet ihnen, ihre Konten auf verdächtige Aktivitäten zu überprüfen.

Allerdings hat das Unternehmen reagierte da zu Sterne in einem reddit Thread besagt, dass die Schwachstellen nicht so gravierend waren wie Stern behauptet.

Stern, der bei Hootsuite auf Android-Entwicklung arbeitet, sagte er, das Problem zu Coinbase Aufmerksamkeit über ihre ‚weißen Hut‘ Bug Bounty Programm Anfang März gebracht hat, aber es hatte eine Meinungsverschiedenheit über die Schwere des Problems gewesen.

Nach seiner Ausgabe, die in der neuesten Version der App zu finden, entschied er sich am 27. Juni in der Hoffnung, die Informationen öffentlich zu veröffentlichen, dass sofortige Maßnahmen würden ergriffen werden.

Er schrieb:

„Ich meine nicht schaden dieses Posting, aber ich bin frustriert, dass einige Sicherheitsupdates, die vielleicht 20 erforderlich machen könnten [Entwicklung] Stunden zu implementieren und ist angeblich auf der Roadmap 3 Monate wurde vor noch nicht angesprochen worden.“

Die Frage auf der Hand

Ein geringeres Maß an Sicherheit im Android Apps könnte Lauscher starten einen ‚Mann in der Mitte‘ (MITM) Angriff gegen die Benutzer ermöglichen, sagte Stern. Er schrieb in seinem Bericht:

„Coinbase empfiehlt klug, dass alle Kunden ihrer API sollte das SSL-Zertifikat validieren präsentierten MITM-Angriffe zu verhindern. Aber sie scheitern diese in ihren eigenen Android-Anwendungen zu tun.“

Dank dieser Tatsache konnte ein Angreifer präsentiert ein ‚Spoofing‘ SSL-Zertifikat (alles mit einer gültigen Unterschrift aber von einer anderen Unterschriftsberechtigung des einem Coinbase verwendet) und Intercept-Kommunikation.

Die client_idand client_secret Artikel, Teil der API-Anwendung, die geheim sein soll, ist in klarer Sicht in Coinbase Quellcode auf GitHub veröffentlicht, Stern fortgesetzt. Diese würden dann während eines Benutzers Authentifizierungsprozesses aufgedeckt werden und bieten einen Hacker mit dem wichtigen access_token.

Mit einem Angriff gegründet und dieses gestohlenen Token, ein böswilliger Hacker könnte API-Anfragen zu einem späteren Zeitpunkt im Namen des Benutzers machen - im Wesentlichen der volle Kontrolle über ihre Rechnung zu tragen.

Stern empfohlen Coinbase Änderung client_idand client_secretand sie in Zukunft vertraulich zu behandeln. Er empfahl auch alle Apps SSL-Verbindungen ordnungsgemäß zu validieren, und dass sie den Einsatz der Coinbase API verbesserten Authentifizierungsprozesses machen und stoppen den veraltete eine verwenden.

Coinbasesaid die Bedrohung war ein geringfügiger nur, und ein Angriff kann nur erfolgreich unter einem bestimmten durchgeführt werden, aber unwahrscheinlich, Satz von Umständen.

Client_idand client_secretwere soll öffentlich und nicht Verteidigung gegen Hack-Attacken sein, ein Vertreter des Unternehmens sagte, und während SSL-Pinning gegen einige Angriffe helfen könnten, es war keine Verteidigung gegen alle Malware oder lokale Änderung von Zertifikaten.

Bug Bounty Programm

Seine Ansprüche zunächst von Coinbase am 14. März abgelehnt Nachdem, Stern schrieb dann einen Entwurf Blog-Post, die Öffentlichkeit über das Thema Warnung und es das Unternehmen im April gesendet.

Auch dies wurde abgelehnt, so öffnete er einen Bericht über HackerOne, eine Stelle, wo ethischer Hacker mit bestehenden Bounty Programmen unzufrieden können Anfälligkeiten privat offen legen.

Coinbase bezahlt Stern 100 $, aber sagte, es wäre nicht das Problem sein Festsetzung führenden HackerOne den Bericht öffentlich zu machen. Als er das Problem noch nicht gefunden, in der aktuellen Version behoben (2.2) von Coinbase apps, entschied Stern den Bericht auf seinem Blog zu veröffentlichen.

Coinbase Bug Bounty programpays mindestens $ 1.000 in bitcoin für jeden, der ein gültiges Sicherheitslücke in seinem Code finden, aber das Unternehmen „behält sich das Recht zu entscheiden, ob die minimale Schwere Schwellenwert erreicht wird“.

Das Unternehmen wurde im April respondedto Ansprüche im März, dass seine ‚Geld anfordern‘ -Funktion Benutzer verlassen anfällig für Phishing-Versuche. Die Funktion erlaubt es einem Benutzer zu ermitteln, ob eine E-Mail-Adresse an einen Coinbase Konto verknüpft wurde, indem es in ein Suchfeld eingeben.

Ähnliche Neuigkeiten


Post Geldwechsel

Coinbase startet Bitcoin Exchange in Großbritannien

Post Geldwechsel

Bitcoin Exchange Bitstamp setzt Services fort

Post Geldwechsel

Bitcoins kaufen in Großbritannien mit Marc Warne von Bittylicious

Post Geldwechsel

1-800-Flowers.com Fügt Bitcoin-Zahlungen in Marketing Drive hinzu

Post Geldwechsel

Tokens können Wertpapiere sein? Selbst ICO Advisors stimmen der SEC zu

Post Geldwechsel

Coinkite lässt Consumer Wallet für Bitcoin Hardware Pivot fallen

Post Geldwechsel

IRS versucht, die Anhörung in Coinbase-Datenstreit zu verzögern

Post Geldwechsel

Sicherstellung von Bitcoin Fungibility in 2017 (und darüber hinaus)

Post Geldwechsel

BitFury investiert in GoCoin for Payments Processing Push

Post Geldwechsel

Das DAO Attacked: Code-Problem führt zu 60 Millionen Dollar Diebstahl

Post Geldwechsel

Coinbase fügt Bitcoin-Zahlungsprotokoll für sicherere Transaktionen hinzu

Post Geldwechsel

Wie Bitcoin-Unternehmen Ihre Gelder sicher halten