Bitcoin Forum

一位加拿大程序员发表声明声称Coinbase的安卓APP存在漏洞，黑客可以完整获得用户账号控制权。

软件工程师Bryan Stern警告用户不要使用Coinbase安卓平台的比特币钱包和商业APP，除非漏洞被修复，并建议用户检查账户的可疑活动。

不过，Coinbase在Reddit社区发布声明说，问题并不像Stern说的那么严重。

Stern是一个安卓开发程序员，在Hootsuite工作，声称在三月份Coinbase的“白帽子”漏洞查找活动中获奖，并引起Coinbase的注意，便双方对问题的严重程序存在分歧。

Stern发现他发现的问题在Coinbase最新版app中依然存在，决定在6月27日公开他发现的问题，以期引起重视。

他这样写道：
“我没有恶意，但是我发现，修复这个安全漏洞可能只需要20小时，但经过三个月了，却依然存在。”

目前的问题
Stern声称，一个安卓app底层安全问题，黑客可利用它发动‘男人在中间‘man in the middle’ (MITM)’攻击。他发表报告写到：

“Coinbase应该明智地警告所有用户确认SSL证书，以阻止MITM攻击。然而，他们却没有这么做。”

利用这个，攻击者可能提出虚假的SSL证书，并拦截通信。

Stern继续说到，client_id和client_secret两个项目，在APP的API中应该是保密，但在Coinbase的源代码却将它们公布在GitHub。这将给黑客提供攻击最重要的信息。

当黑客发起攻击，恶意黑客可以假用用户的行为发起API申请，从而获得账户完整控制权。

Stern推荐Coinbase更改client_id 和 client_secret ，并在以后设置为保密。他还推荐所有的app都妥善确认SSL连接。

Coinbase声称威胁非常小，并且说攻击只有可能在特殊情况下成功。

充满漏洞的程序
3月14日，在Coinbase拒绝了Stern的警告后，4月份，他写了一个博客警告公众，并抄送给公司。

同样，再次被拒绝，他给HackerOne写了报告，HackerOne是一个黑客社区。

Coinbase支付给Stern100美元，但是声称不会去修复这个问题。当他发现问题在Coinbse应用的2.2版本时，Stern决定在其博客上向公众发表。

Coinbase愿意支付给发现其程序漏洞的人最少价值1000美元的比特币。但是公司“保留对漏洞严重性的解释权。”

公司在4月发表声明称这是通过向用户夸大威胁以‘讨钱’行为。

CoinDesk联系Coinbase做进一步采访，但目前还没有得到回应。

来源：CoinDesk (http://www.coindesk.com/coinbase-apps-android-security-flaws-expert-warns/)
翻译：比特人 (http://bbs.btcman.com/thread-19543-1-1.html)——闪电（转载请注明出处）

提醒一下。