Ibahagi ang artikulong ito
Ang Coinbase Android Apps ay May Depekto sa Seguridad, Nagbabala ang Eksperto
Sinabi ng isang programmer na ang mga gumagamit ng Android ng consumer at merchant app ng Coinbase ay nasa panganib na ma-hack ang kanilang mga account.
Gawin kaming preferred sa Google
Isang Canadian programmer ang nag-publish ng sinasabi niyang isang kahinaan sa mga Android app ng Coinbase, ONE na maaaring magbigay-daan sa isang attacker na makakuha ng ganap na access sa account ng isang user.
Ang Software Engineer na si Bryan Stern ay umabot nang hanggang sa pag-iingatmga user na huwag gamitin ang Coinbase Bitcoin Wallet at Merchant apps para sa Android hanggang sa maayos ang problema, at pinayuhan silang suriin ang kanilang mga account para sa kahina-hinalang aktibidad.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa Crypto Daybook Americas Newsletter ngayon. Tingnan lahat ng newsletter
Gayunpaman, tumugon na ang kumpanya kay Stern sa isang reddit thread na nagsasabi na ang mga kahinaan ay hindi kasingseryoso gaya ng sinasabi ni Stern.
, na nagtatrabaho sa Android development sa Hootsuite, ay nagsabi na dinala niya ang isyu sa atensyon ng Coinbase sa pamamagitan ng kanilang 'white hat' bug bounty program noong unang bahagi ng Marso, ngunit nagkaroon ng hindi pagkakasundo sa kabigatan ng isyu.
Nang makitang nasa pinakabagong bersyon ng app ang kanyang isyu, nagpasya siyang ilabas ang impormasyon sa publiko noong ika-27 ng Hunyo sa pag-asang magsasagawa ng agarang aksyon.
Sumulat siya:
"I do T mean any harm posting this, but I am frustrated that some security fixes that might require maybe 20 [development] hours to implement and is allegedly on the roadmap 3 months ago ay hindi pa natutugunan."
Ang isyu sa kamay
Ang mas mababang antas ng seguridad sa mga Android app ay maaaring magpapahintulot sa mga eavesdropper na maglunsad ng 'man in the middle' (MITM) na pag-atake laban sa mga user, sabi ni Stern. Sumulat siya sa kanyang ulat:
"Matalinong inirerekomenda ng Coinbase na dapat i-validate ng lahat ng kliyente ng kanilang API ang SSL certificate na ipinakita upang maiwasan ang mga pag-atake ng MITM. Gayunpaman, nabigo silang gawin ito sa sarili nilang mga Android application."
Dahil dito, maaaring magpakita ang isang attacker ng 'spoofed' SSL certificate (anumang bagay na may wastong lagda ngunit mula sa ibang awtoridad sa pagpirma sa ginagamit ng Coinbase) at humarang sa mga komunikasyon.
Ang client_id at client_secretmga item, bahagi ng API ng application na dapat ay Secret, ay malinaw na nakikita sa source code ng Coinbase na inilathala sa GitHub, patuloy ni Stern. Ang mga ito ay ipapakita sa panahon ng proseso ng pagpapatunay ng isang user at magbibigay sa isang hacker ng pinakamahalagang access_token.
Sa pagkakaroon ng isang pag-atake na naitatag, kasama ang ninakaw na token na ito, ang isang nakakahamak na hacker ay maaaring gumawa ng mga kahilingan sa API sa ibang pagkakataon sa ngalan ng user – mahalagang ganap na kontrolin ang kanilang account.
Inirerekomenda ni Stern ang pagbabago ng Coinbase client_id at client_secret at KEEP kumpidensyal ang mga ito sa hinaharap. Inirerekomenda rin niya ang lahat ng app na i-validate nang maayos ang mga koneksyon sa SSL, at gamitin nila ang pinahusay na proseso ng pagpapatunay ng Coinbase API at ihinto ang paggamit sa hindi na ONE.
Coinbase
sinabi na ang banta ay isang menor de ONE lamang, at ang isang pag-atake ay maaari lamang matagumpay na maisagawa sa ilalim ng isang partikular, ngunit hindi malamang, hanay ng mga pangyayari.
Client_id at client_secret ay nilayon na maging pampubliko at hindi mga depensa laban sa mga pag-atake ng hack, sabi ng isang kinatawan ng kumpanya, at habang maaaring makatulong ang SSL Pinning laban sa ilang pag-atake, hindi ito isang depensa laban sa lahat ng malware o lokal na pagbabago ng mga certificate.
Bug bounty program
Matapos ang kanyang mga paghahabol sa una ay tinanggihan ng Coinbase noong ika-14 ng Marso, sumulat si Stern ng isang draft na post sa blog na nagbabala sa publiko tungkol sa isyu at ipinadala ito sa kumpanya noong Abril.
Ito rin ay tinanggihan, kaya binuksan niya ang isang ulat sa HackerOne, isang site kung saan ang mga etikal na hacker na hindi nasisiyahan sa umiiral na mga programa ng bounty ay maaaring magbunyag ng mga kahinaan nang pribado.
Nagbayad ang Coinbase kay Stern ng $100 ngunit sinabing hindi nito aayusin ang isyu, na humahantong sa HackerOne na isapubliko ang ulat. Nang makita niyang hindi pa rin maayos ang isyu sa pinakabagong bersyon (2.2) ng mga app ng Coinbase, nagpasya si Stern na i-publish ang ulat sa kanyang blog.
ng Coinbase programa ng bug bounty nagbabayad ng pinakamababang $1,000 sa Bitcoin sa sinumang makakahanap ng wastong butas sa seguridad sa code nito, ngunit ang kumpanya ay "naglalaan ng karapatang magpasya kung ang pinakamababang limitasyon ng kalubhaan ay natutugunan".
Ang kumpanya noong Abril tumugon sa pag-claim noong Marso na ang feature na ' Request ng Pera' ay nag-iwan sa mga user na masugatan mga pagtatangka sa phishing. Ang feature ay nagbigay-daan sa isang user na malaman kung ang isang email address ay naka-attach sa isang Coinbase account sa pamamagitan ng paglalagay nito sa isang search field.
Larawan sa pamamagitan ng watcharakun / Shutterstock
More For You
KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.
What to know:
- KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
- This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
- Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
- Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
- Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.
More For You
Ang Bitcoin ay nanatili NEAR sa $88,000 habang ang mga record-breaking rally ng ginto at pilak ay nagpapakita ng mga palatandaan ng pagkapagod
"Ang ginto at pilak ay kaswal na nagdaragdag ng buong market cap ng Bitcoin sa isang araw," isinulat ng ONE Crypto analyst.
What to know:
- Ang Bitcoin ay bumaba sa pinakamababang antas nito ngayong katapusan ng linggo, ngunit NEAR pa rin sa pinakamababa nitong antas ngayong taon na $87,700.
- Dahil sa parehong siklo ng balita gaya ng Crypto, patuloy na tumaas ang halaga ng mga mahahalagang metal, ngunit ang QUICK na pag-atras mula sa kanilang pinakamataas na presyo noong Lunes ay nagmumungkahi na BIT nakakapagod na.
- Nanatiling malungkot ang analyst sa pananaw para sa mga Crypto Prices dahil sa nalalapit na pagsasara ng gobyerno pati na rin ang mga pagkaantala sa pagpasa ng Clarity Act.
Top Stories
