Share this article
Програми Coinbase для Android мають недолік безпеки, попереджає експерт
Програміст каже, що користувачі Android споживчих і торгових додатків Coinbase ризикують бути зламаними.
Updated Apr 10, 2024, 3:17 a.m. Published Jul 1, 2014, 11:10 a.m.
Канадський програміст опублікував, як він стверджує, вразливість у програмах Coinbase для Android, ONE може дозволити зловмиснику отримати повний доступ до облікового запису користувача.
Інженер-програміст Браян Стерн зайшов так далеко, що обережністькористувачам не використовувати програми Coinbase Bitcoin Wallet і Merchant для Android, доки проблему не буде вирішено, і порадив їм перевірити свої облікові записи на наявність підозрілої активності.
Продовження Нижче
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
Однак з тих пір компанія відповіла Стерну на a потік Reddit заявивши, що вразливі місця не такі серйозні, як стверджує Стерн.
, який працює над розробкою Android у Hootsuite, сказав, що привернув увагу Coinbase до цієї проблеми через їхню програму винагороди за помилки «white hat» на початку березня, але виникли розбіжності щодо серйозності проблеми.
Виявивши свою проблему в останній версії програми, він вирішив оприлюднити інформацію 27 червня в надії, що будуть вжиті швидкі заходи.
Він написав:
«Я T маю на увазі нічого поганого, публікуючи це, але мене засмучує те, що деякі виправлення безпеки, які можуть потребувати, можливо, 20 годин [розробки], щоб реалізувати їх і нібито були на дорожній карті 3 місяці тому, ще не розглянуто».
Питання під рукою
За словами Стерна, нижчий рівень безпеки в програмах Android може дозволити перехоплювачам запускати атаку «людина посередині» (MITM) на користувачів. Він писав у своєму звіті:
«Coinbase розумно рекомендує, щоб усі клієнти їхнього API перевіряли наданий сертифікат SSL, щоб запобігти атакам MITM. Однак вони не роблять цього у своїх власних програмах для Android».
Завдяки цьому зловмисник може представити «підроблений» SSL-сертифікат (будь-який із дійсним підписом, але від іншого центру підпису, ніж ONE використовує Coinbase) і перехопити зв’язок.
The client_id і client_secretелементи, частина API програми, яка має бути Secret, чітко видно у вихідному коді Coinbase, опублікованому на GitHub, продовжив Стерн. Потім вони будуть виявлені під час процесу автентифікації користувача та нададуть хакеру надзвичайно важливий access_token.
Після встановлення атаки та викраденого токена зловмисний хакер може пізніше робити запити API від імені користувача, фактично переймаючи повний контроль над його обліковим записом.
Стерн рекомендував змінити Coinbase client_id і client_secret і KEEP їх конфіденційними в майбутньому. Він також рекомендував усім програмам перевіряти SSL-з’єднання належним чином, а також використовувати покращений процес автентифікації Coinbase API і припинити використання ONE.
Coinbase
сказав, що загроза була лише ONE , а атака може бути успішною лише за певних, але малоймовірних обставин.
Client_id і client_secret За словами представника компанії, вони мали бути загальнодоступними, а не захистом від хакерських атак, і хоча закріплення SSL може допомогти проти деяких атак, це не захист від усіх зловмисних програм чи локальної модифікації сертифікатів.
Програма баунті
Після того, як 14 березня Coinbase спочатку відхилила його претензії, Стерн написав чернетку допису в блозі, попереджаючи громадськість про проблему, і відправив її в компанію в квітні.
Це теж було відхилено, тому він відкрив a звіт на HackerOne, сайт, де етичні хакери, незадоволені існуючими програмами винагороди, можуть приватно розкривати вразливості.
Coinbase заплатив Стерну 100 доларів, але сказав, що не вирішить проблему, що змусило HackerOne оприлюднити звіт. Коли він виявив, що проблема все ще не вирішена в останній версії (2.2) програм Coinbase, Стерн вирішив опублікувати звіт у своєму блозі.
Coinbase програма баунті платить мінімум 1000 доларів у Bitcoin кожному, хто зможе знайти дійсну дірку в безпеці в її коді, але компанія «залишає за собою право вирішувати, чи досягнуто мінімального порогу серйозності».
Компанія у квітні відповів до заяв у березні, що його функція «Request гроші» робить користувачів уразливими спроби фішингу. Ця функція дозволяла користувачеві дізнатися, чи була адреса електронної пошти прикріплена до облікового запису Coinbase, ввівши її в поле пошуку.
Зображення через watcharakun / Shutterstock
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
APT зростає на 1,8% до $1,76 незважаючи на тиск через розблокування токенів
Обсяг торгівлі різко зріс у міру того, як інституційні гравці позиціонуються напередодні збільшення пропозиції на $19,8 мільйона.
What to know:
- APT піднявся на 1,8% до $1,76.
- Обсяг зросла на 46% вище місячних середніх показників, оскільки трейдери перегруповувалися.
- Подія розблокування токенів 12 грудня створює надлишок пропозиції на 19,3 мільйона доларів.
Головне
