Share this article

Ang Coinbase Android Apps ay May Depekto sa Seguridad, Nagbabala ang Eksperto

Sinabi ng isang programmer na ang mga gumagamit ng Android ng consumer at merchant app ng Coinbase ay nasa panganib na ma-hack ang kanilang mga account.

Updated Abr 10, 2024, 3:17 a.m. Published Hul 1, 2014, 11:10 a.m. Translated by AI

Isang Canadian programmer ang nag-publish ng sinasabi niyang isang kahinaan sa mga Android app ng Coinbase, ONE na maaaring magbigay-daan sa isang attacker na makakuha ng ganap na access sa account ng isang user.

Ang Software Engineer na si Bryan Stern ay umabot nang hanggang sa pag-iingatmga user na huwag gamitin ang Coinbase Bitcoin Wallet at Merchant apps para sa Android hanggang sa maayos ang problema, at pinayuhan silang suriin ang kanilang mga account para sa kahina-hinalang aktibidad.

Story continues

Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters

By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Gayunpaman, tumugon na ang kumpanya kay Stern sa isang reddit thread na nagsasabi na ang mga kahinaan ay hindi kasingseryoso gaya ng sinasabi ni Stern.

Stern

, na nagtatrabaho sa Android development sa Hootsuite, ay nagsabi na dinala niya ang isyu sa atensyon ng Coinbase sa pamamagitan ng kanilang 'white hat' bug bounty program noong unang bahagi ng Marso, ngunit nagkaroon ng hindi pagkakasundo sa kabigatan ng isyu.

Nang makitang nasa pinakabagong bersyon ng app ang kanyang isyu, nagpasya siyang ilabas ang impormasyon sa publiko noong ika-27 ng Hunyo sa pag-asang magsasagawa ng agarang aksyon.

Sumulat siya:

"I do T mean any harm posting this, but I am frustrated that some security fixes that might require maybe 20 [development] hours to implement and is allegedly on the roadmap 3 months ago ay hindi pa natutugunan."

Ang isyu sa kamay

Ang mas mababang antas ng seguridad sa mga Android app ay maaaring magpapahintulot sa mga eavesdropper na maglunsad ng 'man in the middle' (MITM) na pag-atake laban sa mga user, sabi ni Stern. Sumulat siya sa kanyang ulat:

"Matalinong inirerekomenda ng Coinbase na dapat i-validate ng lahat ng kliyente ng kanilang API ang SSL certificate na ipinakita upang maiwasan ang mga pag-atake ng MITM. Gayunpaman, nabigo silang gawin ito sa sarili nilang mga Android application."

Dahil dito, maaaring magpakita ang isang attacker ng 'spoofed' SSL certificate (anumang bagay na may wastong lagda ngunit mula sa ibang awtoridad sa pagpirma sa ginagamit ng Coinbase) at humarang sa mga komunikasyon.

Ang client_id at client_secretmga item, bahagi ng API ng application na dapat ay Secret, ay malinaw na nakikita sa source code ng Coinbase na inilathala sa GitHub, patuloy ni Stern. Ang mga ito ay ipapakita sa panahon ng proseso ng pagpapatunay ng isang user at magbibigay sa isang hacker ng pinakamahalagang access_token.

Sa pagkakaroon ng isang pag-atake na naitatag, kasama ang ninakaw na token na ito, ang isang nakakahamak na hacker ay maaaring gumawa ng mga kahilingan sa API sa ibang pagkakataon sa ngalan ng user – mahalagang ganap na kontrolin ang kanilang account.

Inirerekomenda ni Stern ang pagbabago ng Coinbase client_id at client_secret at KEEP kumpidensyal ang mga ito sa hinaharap. Inirerekomenda rin niya ang lahat ng app na i-validate nang maayos ang mga koneksyon sa SSL, at gamitin nila ang pinahusay na proseso ng pagpapatunay ng Coinbase API at ihinto ang paggamit sa hindi na ONE.

Coinbase

sinabi na ang banta ay isang menor de ONE lamang, at ang isang pag-atake ay maaari lamang matagumpay na maisagawa sa ilalim ng isang partikular, ngunit hindi malamang, hanay ng mga pangyayari.

Client_id at client_secret ay nilayon na maging pampubliko at hindi mga depensa laban sa mga pag-atake ng hack, sabi ng isang kinatawan ng kumpanya, at habang maaaring makatulong ang SSL Pinning laban sa ilang pag-atake, hindi ito isang depensa laban sa lahat ng malware o lokal na pagbabago ng mga certificate.

Bug bounty program

Matapos ang kanyang mga paghahabol sa una ay tinanggihan ng Coinbase noong ika-14 ng Marso, sumulat si Stern ng isang draft na post sa blog na nagbabala sa publiko tungkol sa isyu at ipinadala ito sa kumpanya noong Abril.

Ito rin ay tinanggihan, kaya binuksan niya ang isang ulat sa HackerOne, isang site kung saan ang mga etikal na hacker na hindi nasisiyahan sa umiiral na mga programa ng bounty ay maaaring magbunyag ng mga kahinaan nang pribado.

Nagbayad ang Coinbase kay Stern ng $100 ngunit sinabing hindi nito aayusin ang isyu, na humahantong sa HackerOne na isapubliko ang ulat. Nang makita niyang hindi pa rin maayos ang isyu sa pinakabagong bersyon (2.2) ng mga app ng Coinbase, nagpasya si Stern na i-publish ang ulat sa kanyang blog.

ng Coinbase programa ng bug bounty nagbabayad ng pinakamababang $1,000 sa Bitcoin sa sinumang makakahanap ng wastong butas sa seguridad sa code nito, ngunit ang kumpanya ay "naglalaan ng karapatang magpasya kung ang pinakamababang limitasyon ng kalubhaan ay natutugunan".

Ang kumpanya noong Abril tumugon sa pag-claim noong Marso na ang feature na ' Request ng Pera' ay nag-iwan sa mga user na masugatan mga pagtatangka sa phishing. Ang feature ay nagbigay-daan sa isang user na malaman kung ang isang email address ay naka-attach sa isang Coinbase account sa pamamagitan ng paglalagay nito sa isang search field.

Larawan sa pamamagitan ng watcharakun / Shutterstock

Coinbase Security Exchanges Android startups Mobile News Companies

Jon Southurst

Si Jon Southurst ay isang business-tech at economic development na manunulat na nakatuklas ng Bitcoin noong unang bahagi ng 2012. Ang kanyang gawa ay lumabas sa maraming blog, UN development appeals, at Canadian & mga pahayagan sa Australia. Batay sa Tokyo sa loob ng isang dekada, si Jon ay regular sa Bitcoin meetups sa Japan at mahilig magsulat tungkol sa anumang paksang sumasalungat sa Technology at ekonomiyang nagbabago sa mundo.