Merkado
Share this article

Ang Coinbase Android Apps ay May Depekto sa Seguridad, Nagbabala ang Eksperto

Sinabi ng isang programmer na ang mga gumagamit ng Android ng consumer at merchant app ng Coinbase ay nasa panganib na ma-hack ang kanilang mga account.

By Jon Southurst
Updated Apr 10, 2024, 3:17 a.m. Published Jul 1, 2014, 11:10 a.m.
android

Isang Canadian programmer ang nag-publish ng sinasabi niyang isang kahinaan sa mga Android app ng Coinbase, ONE na maaaring magbigay-daan sa isang attacker na makakuha ng ganap na access sa account ng isang user.

Ang Software Engineer na si Bryan Stern ay umabot nang hanggang sa pag-iingatmga user na huwag gamitin ang Coinbase Bitcoin Wallet at Merchant apps para sa Android hanggang sa maayos ang problema, at pinayuhan silang suriin ang kanilang mga account para sa kahina-hinalang aktibidad.

Ipagpatuloy Ang Kwento Sa Baba
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Gayunpaman, tumugon na ang kumpanya kay Stern sa isang reddit thread na nagsasabi na ang mga kahinaan ay hindi kasingseryoso gaya ng sinasabi ni Stern.

Stern

, na nagtatrabaho sa Android development sa Hootsuite, ay nagsabi na dinala niya ang isyu sa atensyon ng Coinbase sa pamamagitan ng kanilang 'white hat' bug bounty program noong unang bahagi ng Marso, ngunit nagkaroon ng hindi pagkakasundo sa kabigatan ng isyu.

Nang makitang nasa pinakabagong bersyon ng app ang kanyang isyu, nagpasya siyang ilabas ang impormasyon sa publiko noong ika-27 ng Hunyo sa pag-asang magsasagawa ng agarang aksyon.

Sumulat siya:

"I do T mean any harm posting this, but I am frustrated that some security fixes that might require maybe 20 [development] hours to implement and is allegedly on the roadmap 3 months ago ay hindi pa natutugunan."

Ang isyu sa kamay

Ang mas mababang antas ng seguridad sa mga Android app ay maaaring magpapahintulot sa mga eavesdropper na maglunsad ng 'man in the middle' (MITM) na pag-atake laban sa mga user, sabi ni Stern. Sumulat siya sa kanyang ulat:

"Matalinong inirerekomenda ng Coinbase na dapat i-validate ng lahat ng kliyente ng kanilang API ang SSL certificate na ipinakita upang maiwasan ang mga pag-atake ng MITM. Gayunpaman, nabigo silang gawin ito sa sarili nilang mga Android application."

Dahil dito, maaaring magpakita ang isang attacker ng 'spoofed' SSL certificate (anumang bagay na may wastong lagda ngunit mula sa ibang awtoridad sa pagpirma sa ginagamit ng Coinbase) at humarang sa mga komunikasyon.

Ang client_id at client_secretmga item, bahagi ng API ng application na dapat ay Secret, ay malinaw na nakikita sa source code ng Coinbase na inilathala sa GitHub, patuloy ni Stern. Ang mga ito ay ipapakita sa panahon ng proseso ng pagpapatunay ng isang user at magbibigay sa isang hacker ng pinakamahalagang access_token.

Sa pagkakaroon ng isang pag-atake na naitatag, kasama ang ninakaw na token na ito, ang isang nakakahamak na hacker ay maaaring gumawa ng mga kahilingan sa API sa ibang pagkakataon sa ngalan ng user – mahalagang ganap na kontrolin ang kanilang account.

Inirerekomenda ni Stern ang pagbabago ng Coinbase client_id at client_secret at KEEP kumpidensyal ang mga ito sa hinaharap. Inirerekomenda rin niya ang lahat ng app na i-validate nang maayos ang mga koneksyon sa SSL, at gamitin nila ang pinahusay na proseso ng pagpapatunay ng Coinbase API at ihinto ang paggamit sa hindi na ONE.

Coinbase

sinabi na ang banta ay isang menor de ONE lamang, at ang isang pag-atake ay maaari lamang matagumpay na maisagawa sa ilalim ng isang partikular, ngunit hindi malamang, hanay ng mga pangyayari.

Client_id at client_secret ay nilayon na maging pampubliko at hindi mga depensa laban sa mga pag-atake ng hack, sabi ng isang kinatawan ng kumpanya, at habang maaaring makatulong ang SSL Pinning laban sa ilang pag-atake, hindi ito isang depensa laban sa lahat ng malware o lokal na pagbabago ng mga certificate.

Bug bounty program

Matapos ang kanyang mga paghahabol sa una ay tinanggihan ng Coinbase noong ika-14 ng Marso, sumulat si Stern ng isang draft na post sa blog na nagbabala sa publiko tungkol sa isyu at ipinadala ito sa kumpanya noong Abril.

Ito rin ay tinanggihan, kaya binuksan niya ang isang ulat sa HackerOne, isang site kung saan ang mga etikal na hacker na hindi nasisiyahan sa umiiral na mga programa ng bounty ay maaaring magbunyag ng mga kahinaan nang pribado.

Nagbayad ang Coinbase kay Stern ng $100 ngunit sinabing hindi nito aayusin ang isyu, na humahantong sa HackerOne na isapubliko ang ulat. Nang makita niyang hindi pa rin maayos ang isyu sa pinakabagong bersyon (2.2) ng mga app ng Coinbase, nagpasya si Stern na i-publish ang ulat sa kanyang blog.

ng Coinbase programa ng bug bounty nagbabayad ng pinakamababang $1,000 sa Bitcoin sa sinumang makakahanap ng wastong butas sa seguridad sa code nito, ngunit ang kumpanya ay "naglalaan ng karapatang magpasya kung ang pinakamababang limitasyon ng kalubhaan ay natutugunan".

Ang kumpanya noong Abril tumugon sa pag-claim noong Marso na ang feature na ' Request ng Pera' ay nag-iwan sa mga user na masugatan mga pagtatangka sa phishing. Ang feature ay nagbigay-daan sa isang user na malaman kung ang isang email address ay naka-attach sa isang Coinbase account sa pamamagitan ng paglalagay nito sa isang search field.

Larawan sa pamamagitan ng watcharakun / Shutterstock

CoinbaseSecurityExchangesAndroidstartupsMobileNewsCompanies

More For You

Protocol Research: GoPlus Security

By CoinDesk Research
Nov 14, 2025
Commissioned byGoPlus
GP Basic Image

What to know:

  • As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
  • GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
  • Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
View Full Report

More For You

Nakikita ng Coinbase ang Crypto Recovery Ahead habang Bubuti ang Liquidity at Tumataas ang Fed Rate Cut Odds

By Francisco Rodrigues|Edited by Stephen Alpher
9 hours ago
Coinbase

Napansin din ng Crypto exchange ang tinatawag na AI bubble na patuloy na lumalakas at humihina ang US USD.

What to know:

  • Ang Coinbase Institutional ay nakakakita ng potensyal na pagbawi ng Disyembre sa Crypto, na binabanggit ang pagpapabuti ng pagkatubig at pagbabago sa mga kondisyon ng macroeconomic na maaaring pabor sa mga asset na may panganib tulad ng Bitcoin.
  • Ang Optimism ng kumpanya ay hinihimok ng tumataas na posibilidad ng mga pagbawas sa rate ng Federal Reserve, kasama ang pagpepresyo ng mga Markets sa isang 93% na pagkakataon na bumababa sa susunod na linggo, at pagpapabuti ng mga kondisyon ng pagkatubig.
  • Ilang kamakailang mga pag-unlad ng institusyonal, kabilang ang pagbabaligtad ng Policy ng Crypto ETF ng Vanguard at ang greenlighting ng Bank of America sa mga alokasyon ng Crypto , ay nag-ambag sa pag-rebound ng bitcoin mula sa mga kamakailang lows.
Read full story