一位加拿大程序员发表声明声称Coinbase的安卓APP存在漏洞,黑客可以完整获得用户账号控制权。
软件工程师Bryan Stern警告用户不要使用Coinbase安卓平台的比特币钱包和商业APP,除非漏洞被修复,并建议用户检查账户的可疑活动。
不过,Coinbase在Reddit社区发布声明说,问题并不像Stern说的那么严重。
Stern是一个安卓开发程序员,在Hootsuite工作,声称在三月份Coinbase的“白帽子”漏洞查找活动中获奖,并引起Coinbase的注意,便双方对问题的严重程序存在分歧。
Stern发现他发现的问题在Coinbase最新版app中依然存在,决定在6月27日公开他发现的问题,以期引起重视。
他这样写道:
“我没有恶意,但是我发现,修复这个安全漏洞可能只需要20小时,但经过三个月了,却依然存在。”
目前的问题
Stern声称,一个安卓app底层安全问题,黑客可利用它发动‘男人在中间‘man in the middle’ (MITM)’攻击。他发表报告写到:
“Coinbase应该明智地警告所有用户确认SSL证书,以阻止MITM攻击。然而,他们却没有这么做。”
利用这个,攻击者可能提出虚假的SSL证书,并拦截通信。
Stern继续说到,client_id和client_secret两个项目,在APP的API中应该是保密,但在Coinbase的源代码却将它们公布在GitHub。这将给黑客提供攻击最重要的信息。
当黑客发起攻击,恶意黑客可以假用用户的行为发起API申请,从而获得账户完整控制权。
Stern推荐Coinbase更改client_id 和 client_secret ,并在以后设置为保密。他还推荐所有的app都妥善确认SSL连接。
Coinbase声称威胁非常小,并且说攻击只有可能在特殊情况下成功。
充满漏洞的程序
3月14日,在Coinbase拒绝了Stern的警告后,4月份,他写了一个博客警告公众,并抄送给公司。
同样,再次被拒绝,他给HackerOne写了报告,HackerOne是一个黑客社区。
Coinbase支付给Stern100美元,但是声称不会去修复这个问题。当他发现问题在Coinbse应用的2.2版本时,Stern决定在其博客上向公众发表。
Coinbase愿意支付给发现其程序漏洞的人最少价值1000美元的比特币。但是公司“保留对漏洞严重性的解释权。”
公司在4月发表声明称这是通过向用户夸大威胁以‘讨钱’行为。
CoinDesk联系Coinbase做进一步采访,但目前还没有得到回应。
来源:
CoinDesk翻译:
比特人——闪电(转载请注明出处)
