Найдена уязвимость в защите приложения Coinbase для Android
Канадский программист Брайан Стерн заявляет о том, что ему удалось найти уязвимость в защите приложения Coinbase для ОС Android, которая способна привести к тому, что злоумышленник овладеет полным доступом к пользовательскому аккаунту. Стерн призывает пользователей приостановить свою работу с этим приложением до тех пор, пока проблема не будет решена. Представители Coinbase уже отреагировали на заявления Стерна, отметив, что проблема не является настолько серьезной.
По словам Стерна, работающего программистом в компании Hotsuite, он связывался с Coinbase еще в начале марта, однако руководство биткоин-компании отказывалось воспринимать данную проблему серьезно. После того, как в обновленной версии приложения Coinbase, выпущенной 27 июня, неполадки не были устранены, Стерн решил сделать публичное заявление. Он также добавил: «Я не хочу каким-либо образом навредить Coinbase, но меня раздражает тот факт, что сотрудники компании в течение трех месяцев не могут уделить и дня решению данной проблемы».
В сообщении Стерна речь идет об уязвимости в защите протокола SSL, которая может привести к MITM-атаке и овладению доступом к пользовательскому аккаунту. Стерн рассказывает: «Coinbase рекомендует своим пользователям активировать свой SSL протокол, который защищает от подобных атак. Однако мало кто делает это на своих устройствах. Таким образом, хакер может сам предоставить другую версию протокола и перехватывать все исходящие данные». Стерн также добавил, что такие части исходного кода приложения Coinbase как client_id и client_secret находятся в открытом доступе на сервисе Github, и могут быть использованы хакерами во время процесса аутентификации. Таким образом, зная вышеописанные данные, а также совершив MITM-атаку, злоумышленник может полностью завладеть пользовательскими данными и контролем над его аккаунтом.
Стерн порекомендовал специалистам Coinbase изменить некоторые части исходного кода, а также скрыть их. В ответ, программисты Coinbase заявили о том, что подобные атаки маловероятны и могут произойти только лишь при невероятном стечении обстоятельств. Кроме того, по задумке компании, части client_id и client_secret с самого начала должны были находиться в открытом доступе. Отметим, что представители Coinbase отказались давать какие-либо дальнейшие комментарии по данному вопросу.
источникhttps://cryptochan.org/news/947
добавлено через 21 час 2 минуты
Крупнейшая платежная система Южной Кореи начала принимать биткоины
Жители Южной Кореи в скором времени получат возможность расплачиваться биткоинами на нескольких тысяч Интернет-ресурсах. Все это стало возможным после того, как одна из самых влиятельных азиатских платежных систем Galaxia анонсировала начало использования цифровой валюты. Согласно статистике, Galaxia входит в тройку крупнейших корейских процессинговых платежных компаний, сотрудничая с более чем десятью тысячами местных и зарубежных Интернет-ресурсов. Помимо этого, компания занимает лидирующую позицию на южнокорейском рынке продаж мобильных ваучеров, которые теперь так же могут быть приобретены за биткоины. Обеспечивать функционирование технических аспектов биткоин-транзакций будет еще одна местная, биткоин-компания – Coinplug...
...Отметим, что Galaxia не будет никоим образом иметь дело с биткоинами, так как все платежи будут контролироваться компанией Coinplug, а затем, незамедлительно, конвертироваться в фиатную валюту. Ким также добавил, что с технической точки зрения, внедрение биткоинов не представляло каких-либо особых проблем и прошло без каких-либо эксцессов. «Мы оперируем многими валютами и платежными системами и уже привыкли к подобным вещам. Поэтому, у нас не возникло никаких технических трудностей в начале приема биткоинов».
Отдельно стоит отметить роль Coinplug в данной инициативе. Южнокорейская биткоин-компания также известна разработкой нескольких приложения биткоин-тематики для ОС Android, а также установкой в марте этого года первого биткоин-банкомата в Сеуле. Таким образом, компания является одним из флагманов продвижения и популяризации биткоинов на территории Южной Кореи. Помимо этого, в апреле этого года компании удалось собрать около 400 тысяч долларов венчурного капитала для дальнейшего развития. Наконец, в ближайшее время состоится запуск обновленной версии сайта и биткоин-кошелька Coinplug.
источникhttps://cryptochan.org/news/948
