Компания Dfns, Криптo кошельками, утверждает, что «волшебные ссылки» имеют критическую уязвимость

По данным стартапа Криптo кошелька Dfns, некоторые «волшебные ссылки» — метод входа без пароля, используемый все большим числом Криптo и веб-приложений — имеют критическую уязвимость.

Dfns предлагает услуги кошелькаи поддерживается такими фирмами, как White Star Capital, Hashed, Susquehanna, Coinbase Ventures и ABN AMRO.

Волшебная LINK — это уникальный одноразовый URL-адрес, который генерируется веб-сайтом или приложением для аутентификации пользователя без необходимости ввода пароля. Когда пользователь нажимает на волшебную LINK, отправленную ему веб-приложением, оно проверяет его личность и регистрирует его в своей учетной записи.

Первоначально разработанные Slack и другими популярными приложениями Web2, магические ссылки стали все более распространенным методом входа в Криптo . Вместо того, чтобы требовать от пользователей запоминания сложного ключа или фразы-семя, магические ссылки рекламируются как более быстрый, простой и безопасный способ входа в систему.

Однако Dfns утверждает, что «волшебные ссылки», которые могут быть реализованы по-разному в разных приложениях, зачастую гораздо менее безопасны, чем более традиционные методы входа.

Dfns классифицирует обнаруженную уязвимость какэксплойт «нулевого дня» – настолько серьезная, что фактически делает магические ссылки токсичными для разработчиков. Учитывая повсеместность магических ссылок за пределами Криптo (например, они используются некоторыми популярными менеджерами паролей), Dfns заявила в своем заявлении, что уязвимость может «представлять значительный риск для значительной части мировой экономики».

Однако сервисы, затронутые уязвимостью, значительно преуменьшили ее риск для CoinDesk, назвав ее более безобидной — хотя все еще тревожной — разновидностью фишинговая атака. Более того, многие популярные кошельки жаловались на то, что Dfns дали им уведомление всего за три дня, прежде чем поторопиться с публикацией своих результатов.далеко не соответствует общепринятым стандартам Раскрытие информации уязвимостей. Более того, они добавили, что Dfns имеет корыстный интерес в дискредитации услуг кошельков без пароля; бизнес-модель Dfns подразумевает защиту Криптo для своих клиентов.

Хотя не все согласны с оценкой серьезности выводов Dfns, люди, общавшиеся с CoinDesk, отметили, что выводы действительно подчеркивают, как некоторые одержимые ростом Криптовалюта компании ставят удобство выше безопасности в попытке привлечь пользователей.

«В начале 2000-х годов имена пользователей и пароли постоянно подвергались взлому. Но сегодня у нас есть двухфакторная аутентификация, одноразовые пароли (OTP)» и другие более безопасные методы входа, сказал генеральный директор Web3Auth Чжэнь Юй Юн CoinDesk. (Web3Auth предлагает услугу входа без пароля, которая была уязвима для обнаруженного эксплойта Dfns.) Криптo «все еще во многом использует однофакторные начальные фразы — однофакторную аутентификацию».

Перехват магических ссылок

В ходе демонстрации через Zoom директор по информационной безопасности (CISO) Dfns д-р Самер Файссал показал, как хакер может взломать популярные сервисы Криптo кошельков «Magic LINK », используя только адрес электронной почты пользователя.

Используя свежий кошелек CoinDesk Burner в качестве тестового манекена, Фейсалл продемонстрировал, как хакер может отправить волшебную LINK , которая выглядела (и была, в некотором смысле) подлинной. LINK приходила с настоящего адреса электронной почты сервиса кошелька, и нажатие на нее осуществляло вход в кошелек CoinDesk Burner.

Но когда Файсал поделился своим экраном, он показал, что, нажав на LINK, CoinDesk непреднамеренно предоставил ему полный доступ к своему кошельку.

При наличии двух юристов Dnfs на связи (очевидно, для подтверждения того, что Dfns на самом деле не взламывал CoinDesk), Файссал согласился повторить свою атаку на другой сервис Криптo без пароля.

В обеих своих демонстрациях Файссал, а не CoinDesk , инициировал Request на вход, который запускал электронное письмо с магической LINK . Если пользователь получает электронное письмо для входа, не пытаясь фактически войти в службу, это, как правило, красный флаг фишинга, даже если электронное письмо выглядит полностью подлинным.

Файссал не стал объяснять, как он провернул атаки, заявив CoinDesk , что T хотел, чтобы его методы попали в чужие руки. Однако он сказал, что лично связался с более чем десятком компаний, которые, по его мнению, уязвимы для эксплойта, и предложил им помощь в реализации мер безопасности.

Что касается пользователей кошельков Magic LINK , «я бы посоветовал им как можно скорее внедрить двухфакторную аутентификацию, если это возможно», — сказал Файссал.

CoinDesk поговорил с тремя Криптo , которые Dfns идентифицировал как пользователей магических ссылок. Все они подтвердили, что выводы Файсала были подлинными, но все они заявили, что Dfns переигрывает, называя атаку «нулевым днем».

Magic Labs, ONE из компаний, которую Dfns использовала в своей демонстрации, заявила на следующий день, что ее уязвимость устранена.

«Magic Labs больше не уязвима к этому типу фишинга, и, насколько нам известно, ни один из наших конечных пользователей не пострадал», — сказал Шон Ли, генеральный директор Magic Labs. «Мы постоянно оцениваем и улучшаем безопасность нашей платформы».

Уязвимость нулевого дня или фишинговая атака?

Web3Auth был другим сервисом Криптo , который Dfns использовал для демонстрации уязвимости магической LINK CoinDesk. По Мнение Йонга из Web3Auth, уязвимость магической LINK T относится к более серьезному эксплойту «нулевого дня», поскольку пользователю необходимо нажать на взломанную магическую LINK , чтобы она сработала.

«Мы рассматриваем это как фишинговую атаку», — сказал Йонг CoinDesk. «Это похоже на фишинговую атаку на MetaMask, где есть dapp [децентрализованное приложение], которое отправляет вредоносную транзакцию, пользователь одобряет ее, затем пользователь может отправить свои токены на вредоносный адрес или что-то в этом роде».

Атака с использованием волшебной LINK не удается, если пользователь пропускает взломанное письмо, нажимает на LINK после истечения срока ее действия или считает подозрительным, что ему отправили волшебную LINK , когда он T пытался войти в систему. (Что касается последнего пункта, Файссал говорит, что злоумышленник может стратегически рассчитать время LINK так, чтобы она пришла в то время, когда пользователь, как ожидается, войдет в целевую службу.)

Йонг рассказал CoinDesk , что Web3Auth имеет меры защиты от фишинга, хотя и признал, что этих мер защиты T , чтобы противостоять уязвимости Файсала.

Однако, к чести Web3Auth, фирма имеет текст в нижней части своих писем с магическими LINK , указывающий IP-адрес, который инициировал попытку входа. В демонстрации Файсала его взломанная магическая LINK пришла с другого IP-адреса, чем CoinDesk — легко пропустить намек на то, что LINK была мошеннической, хотя письмо пришло напрямую от Web3Auth.

Йонг сообщил, что Web3Auth внедрит дополнительные методы борьбы с фишингом в свете исследования Файсала.

Sequence, платформа разработки web3, которая предлагает Криптo без пароля, сообщила CoinDesk , что она ввела меры безопасности, которые сделали обнаруженную Dfns уязвимость неэффективной. «Для Sequence, я T думаю, что все так плохо», — сказал Питер Килтыка, генеральный директор Horizon, компании, которая создает Sequence. «Но знаете, да, для некоторых других продуктов, я думаю, они могли бы принять дополнительные меры».

Питер обвинил Dfns в преувеличении серьезности уязвимости магической LINK , назвав это «маркетинговым трюком».