Aplicativos Android da Coinbase têm falha de segurança, alerta especialista

Um programador canadense publicou o que ele afirma ser uma vulnerabilidade nos aplicativos Android da Coinbase, que pode permitir que um invasor obtenha acesso total à conta de um usuário.

O engenheiro de software Bryan Stern chegou ao ponto deCuidadousuários não devem usar os aplicativos Coinbase Bitcoin Wallet e Merchant para Android até que o problema seja corrigido e os aconselharam a verificar suas contas em busca de atividades suspeitas.

No entanto, a empresa já respondeu a Stern em umatópico do redditafirmando que as vulnerabilidades não eram tão sérias quanto Stern alega.

Popa

, que trabalha com desenvolvimento para Android na Hootsuite, disse que levou o problema à atenção da Coinbase por meio do programa de recompensa por bugs "white hat" no início de março, mas houve um desacordo sobre a seriedade do problema.

Ao descobrir que o problema estava presente na versão mais recente do aplicativo, ele decidiu divulgar a informação publicamente em 27 de junho, na esperança de que uma ação imediata fosse tomada.

Ele escreveu:

"T é minha intenção causar danos ao postar isso, mas estou frustrado porque algumas correções de segurança que podem exigir talvez 20 horas [de desenvolvimento] para serem implementadas e que supostamente estavam no roteiro há 3 meses ainda não foram abordadas."

A questão em questão

Um nível mais baixo de segurança nos aplicativos Android pode permitir que bisbilhoteiros lancem um ataque 'man in the middle' (MITM) contra usuários, disse Stern. Ele escreveu em seu relatório:

"A Coinbase sabiamente recomenda que todos os clientes de sua API validem o certificado SSL apresentado para evitar ataques MITM. No entanto, eles falham em fazer isso em seus próprios aplicativos Android."

Graças a isso, um invasor poderia apresentar um certificado SSL "falsificado" (qualquer coisa com uma assinatura válida, mas de uma autoridade de assinatura diferente ONE usada pela Coinbase) e interceptar comunicações.

O ID do cliente e segredo_do_clienteitens, parte da API do aplicativo que deveria ser Secret, estão em vista clara no código-fonte da Coinbase publicado no GitHub, continuou Stern. Eles seriam então revelados durante o processo de autenticação de um usuário e forneceriam ao hacker o importantíssimo access_token.

Com um ataque estabelecido, além desse token roubado, um hacker malicioso poderia fazer solicitações de API posteriormente em nome do usuário – essencialmente assumindo o controle total sobre sua conta.

Stern recomendou mudança na CoinbaseID do cliente e segredo_do_cliente e KEEP -los confidenciais no futuro. Ele também recomendou que todos os aplicativos validassem as conexões SSL corretamente, e que fizessem uso do processo de autenticação aprimorado da API da Coinbase e parassem de usar o ONE.

Coinbase

disse que a ameaça era ONE e que um ataque só poderia ser realizado com sucesso sob um conjunto específico, mas improvável, de circunstâncias.

ID do cliente e segredo_do_clienteforam concebidos para serem públicos e não como defesas contra ataques de hackers, disse um representante da empresa, e embora o SSL Pinning possa ajudar contra alguns ataques, não é uma defesa contra todos os malwares ou modificações locais de certificados.

Programa de recompensa por bugs

Após ter suas reivindicações inicialmente rejeitadas pela Coinbase em 14 de março, Stern escreveu um rascunho de postagem no blog alertando o público sobre o problema e o enviou à empresa em abril.

Isso também foi rejeitado, então ele abriu umarelatório sobre HackerOne, um site onde hackers éticos insatisfeitos com os programas de recompensas existentes podem divulgar vulnerabilidades de forma privada.

A Coinbase pagou US$ 100 a Stern, mas disse que não consertaria o problema, levando o HackerOne a tornar o relatório público. Quando ele descobriu que o problema ainda não estava corrigido na versão mais recente (2.2) dos aplicativos da Coinbase, Stern decidiu publicar o relatório em seu blog.

da Coinbaseprograma de recompensa por bugs paga um mínimo de US$ 1.000 em Bitcoin para qualquer um que encontre uma falha de segurança válida em seu código, mas a empresa "reserva-se o direito de decidir se o limite mínimo de gravidade foi atingido".

A empresa em abrilrespondeu às alegações em março de que seu recurso ' Request dinheiro' deixava os usuários vulneráveis ​​a tentativas de phishing. O recurso permitia que um usuário descobrisse se um endereço de e-mail estava vinculado a uma conta da Coinbase inserindo-o em um campo de pesquisa.

Imagem viaassistirarakun/Shutterstock