Las aplicaciones de Coinbase para Android tienen una falla de seguridad, advierte un experto

Un programador canadiense ha publicado lo que afirma es una vulnerabilidad en las aplicaciones de Android de Coinbase, que podría permitir a un atacante obtener acceso completo a la cuenta de un usuario.

El ingeniero de software Bryan Stern llegó tan lejos como paraprecauciónSe recomienda a los usuarios no utilizar las aplicaciones Coinbase Bitcoin Wallet y Merchant para Android hasta que se solucione el problema y se les recomienda revisar sus cuentas para detectar actividad sospechosa.

Sin embargo, desde entonces la empresa ha respondido a Stern de una manerahilo de Reddit afirmando que las vulnerabilidades no eran tan graves como afirma Stern.

Popa

, que trabaja en el desarrollo de Android en Hootsuite, dijo que había llevado el problema a la atención de Coinbase a través de su programa de recompensas por errores de "sombrero blanco" a principios de marzo, pero que había habido un desacuerdo sobre la gravedad del problema.

Al descubrir que el problema estaba presente en la última versión de la aplicación, decidió publicar la información el 27 de junio con la esperanza de que se tomaran medidas rápidas.

Él escribió:

No pretendo causar daño al publicar esto, pero me frustra que algunas correcciones de seguridad que podrían requerir quizás 20 horas de desarrollo para implementarse y que supuestamente estaban en la hoja de ruta hace 3 meses aún no se hayan abordado.

La cuestión en cuestión

Un nivel de seguridad más bajo en las aplicaciones de Android podría permitir que los espías lancen un ataque de intermediario (MITM) contra los usuarios, afirmó Stern. En su informe, escribió:

Coinbase recomienda sabiamente que todos los clientes de su API validen el certificado SSL presentado para prevenir ataques MITM. Sin embargo, no lo hacen en sus propias aplicaciones de Android.

Gracias a esto, un atacante podría presentar un certificado SSL 'falsificado' (cualquiera con una firma válida pero de una autoridad de firma diferente a la que utiliza Coinbase) e interceptar las comunicaciones.

El id_del_cliente y secreto_del_clienteLos elementos, parte de la API de la aplicación que debería ser Secret, están claramente visibles en el código fuente de Coinbase publicado en GitHub, continuó Stern. Estos se revelarían durante el proceso de autenticación del usuario y proporcionarían a un hacker el importantísimo token de acceso.

Con un ataque establecido, más este token robado, un hacker malintencionado podría realizar solicitudes API en un momento posterior en nombre del usuario, tomando esencialmente control total de su cuenta.

Stern recomendó el cambio de Coinbaseid_del_cliente y secreto_del_cliente y KEEP confidenciales en el futuro. También recomendó que todas las aplicaciones validaran correctamente las conexiones SSL, que utilizaran el proceso de autenticación mejorado de la API de Coinbase y que dejaran de usar el ONE.

Coinbase

Dijo que la amenaza era sólo ONE y que un ataque sólo podría llevarse a cabo con éxito bajo un conjunto de circunstancias específicas, pero poco probables.

ID de cliente y secreto_del_clienteUn representante de la compañía dijo que los certificados SSL estaban destinados a ser públicos y no a ser una defensa contra ataques de piratas informáticos, y si bien SSL Pinning podría ayudar contra algunos ataques, no era una defensa contra todo el malware o la modificación local de certificados.

Programa de recompensas por errores

Después de que Coinbase rechazara inicialmente sus afirmaciones el 14 de marzo, Stern escribió un borrador de publicación en su blog advirtiendo al público sobre el problema y lo envió a la empresa en abril.

Esto también fue rechazado, por lo que abrió unaInforme sobre HackerOne, un sitio donde los piratas informáticos éticos insatisfechos con los programas de recompensas existentes pueden revelar vulnerabilidades de forma privada.

Coinbase pagó a Stern 100 dólares, pero afirmó que no solucionaría el problema, lo que llevó a HackerOne a publicar el informe. Al descubrir que el problema seguía sin solucionarse en la última versión (2.2) de las aplicaciones de Coinbase, Stern decidió publicarlo en su blog.

de Coinbaseprograma de recompensas por errores paga un mínimo de 1.000 dólares en Bitcoin a cualquiera que pueda encontrar un agujero de seguridad válido en su código, pero la empresa "se reserva el derecho de decidir si se cumple el umbral de gravedad mínimo".

La empresa en abrilrespondió a las afirmaciones en marzo de que su función ' Request dinero' dejaba a los usuarios vulnerables a intentos de phishingLa función permitía a un usuario averiguar si una dirección de correo electrónico estaba asociada a una cuenta de Coinbase ingresándola en un campo de búsqueda.

Imagen víaWatcharakun/Shutterstock