Les applications Android de Coinbase présentent une faille de sécurité, avertit un expert

Un programmeur canadien a publié ce qu'il prétend être une vulnérabilité dans les applications Android de Coinbase, ONE pourrait permettre à un attaquant d'accéder pleinement au compte d'un utilisateur.

L'ingénieur logiciel Bryan Stern est allé jusqu'àprudenceLes utilisateurs ne doivent pas utiliser les applications Coinbase Bitcoin Wallet et Merchant pour Android jusqu'à ce que le problème soit résolu, et il leur est conseillé de vérifier leurs comptes pour détecter toute activité suspecte.

Cependant, la société a depuis répondu à Stern dans unfil de discussion Redditaffirmant que les vulnérabilités n’étaient pas aussi graves que le prétend Stern.

Arrière

, qui travaille sur le développement Android chez Hootsuite, a déclaré qu'il avait attiré l'attention de Coinbase sur le problème via son programme de primes aux bugs « white hat » début mars, mais qu'il y avait eu un désaccord sur la gravité du problème.

Après avoir constaté que son problème était présent dans la dernière version de l'application, il a décidé de publier l'information publiquement le 27 juin dans l'espoir qu'une action rapide serait prise.

Il a écrit :

« Je ne veux T faire de mal en publiant ceci, mais je suis frustré que certains correctifs de sécurité qui pourraient nécessiter peut-être 20 heures [de développement] pour être mis en œuvre et qui seraient sur la feuille de route il y a 3 mois n'aient pas encore été traités. »

Le problème en question

Un niveau de sécurité moindre dans les applications Android pourrait permettre aux espions de lancer une attaque de type « man in the middle » (MITM) contre les utilisateurs, a déclaré Stern. Il a écrit dans son rapport :

Coinbase recommande judicieusement à tous les clients de son API de valider le certificat SSL présenté afin de prévenir les attaques MITM. Cependant, ils omettent de le faire dans leurs propres applications Android.

Grâce à cela, un attaquant pourrait présenter un certificat SSL « usurpé » (tout ce qui possède une signature valide mais provenant d'une autorité de signature différente de ONE utilisée par Coinbase) et intercepter les communications.

Le client_id et client_secretLes éléments, qui font partie de l'API de l'application et qui devraient rester Secret, sont clairement visibles dans le code source de Coinbase publié sur GitHub, a poursuivi Stern. Ils seraient alors révélés lors du processus d'authentification de l'utilisateur et fourniraient au pirate le jeton d'accès indispensable.

Avec une attaque établie, plus ce jeton volé, un pirate informatique malveillant pourrait effectuer des requêtes API ultérieurement au nom de l'utilisateur, prenant ainsi le contrôle total de son compte.

Stern a recommandé un changement de Coinbaseclient_id et client_secret et de les KEEP à l'avenir. Il a également recommandé à toutes les applications de valider correctement les connexions SSL, d'utiliser le processus d'authentification amélioré de l'API Coinbase et de cesser d'utiliser ONE, obsolète.

Coinbase

Il a déclaré que la menace était ONE et qu'une attaque ne pouvait être menée à bien que dans des circonstances spécifiques, mais peu probables.

ID client et client_secretIls étaient destinés à être publics et non à servir de défense contre les attaques de piratage, a déclaré un représentant de l'entreprise, et bien que l'épinglage SSL puisse aider contre certaines attaques, il ne s'agissait pas d'une défense contre tous les logiciels malveillants ou les modifications locales des certificats.

Programme de primes aux bugs

Après avoir vu ses affirmations initialement rejetées par Coinbase le 14 mars, Stern a ensuite rédigé un projet d'article de blog avertissant le public du problème et l'a envoyé à l'entreprise en avril.

Cela aussi a été rejeté, alors il a ouvert unrapport sur HackerOne, un site où les pirates éthiques insatisfaits des programmes de primes existants peuvent divulguer des vulnérabilités en privé.

Coinbase a versé 100 $ à Stern, mais a déclaré qu'il ne corrigerait pas le problème, ce qui a incité HackerOne à rendre le rapport public. Constatant que le problème persistait dans la dernière version (2.2) des applications Coinbase, Stern a décidé de publier le rapport sur son blog.

Coinbaseprogramme de primes aux bugs paie un minimum de 1 000 $ en Bitcoin à quiconque parvient à trouver une faille de sécurité valide dans son code, mais la société « se réserve le droit de décider si le seuil de gravité minimum est atteint ».

L'entreprise en avrila répondu aux affirmations de mars selon lesquelles sa fonctionnalité « Request de l'argent » rendait les utilisateurs vulnérables tentatives d'hameçonnage. La fonctionnalité permettait à un utilisateur de savoir si une adresse e-mail était associée à un compte Coinbase en la saisissant dans un champ de recherche.

Image viawatcharakun/Shutterstock