Программист из Канады Б. Стерн сообщил о выявлении существенной уязвимости в защите биткоин приложения для Android. При использовании данной уязвимости Coinbase, правонарушители могут получить доступ к аккаунту пользователя биткоин. Программист рекомендует все членам биткоин-сообщества, кто использует данное приложение, приостановить работу с ним. Возобновить работу можно будет после устранения уязвимости. Представители разработчика Coinbase приняли во внимание заявление канадского программиста, проанализировали выявленную уязвимость и сообщили, что опасения не совсем оправданы.
Стерн сообщил что, когда в начале марта текущего года он проинформировалCoinbase о выявленной уязвимости, официальные представители биткоин-фирмы не стали принимать серьезно его заявления о выявленной уязвимости. 27 июня вышла обновлённая версия Coinbase. Она была проверена Стерном, и в ней вновь обнаружилась уязвимость. После этого программист решил публично заявить об обнаруженной проблеме и предостеречь пользователей от возможных потерь. По заявлению программиста, его сильно раздражает тот факт, что после сообщения о проблеме прошло уже 3 месяца, однако компания так и не решила ее.
Проблема Coinbase состоит в низком уровне защиты протокола SSL. При такой защите может иметь место MITM-атака в результате которой злоумышленники могут получить полный доступ к биткоин-аккаунту. По словам Стерна, представители Coinbase решили предложить своим пользователям обходной путь решения проблемы. Они рекомендуют активировать на устройствах, на которых установлена программа, встроенный SSL протокол. Однако на практике на устройствах этот протокол мало кто активирует. В итоге хакеры имеют возможность изменить версию протокола и осуществить перехват данных. Еще один пробел в системе безопасности Coinbase состоит в доступности кусков исходного кода (client_id и client_secret) в открытом доступе. Эти материалы могут быть использованы хакерами для аутентификации в биткоин-аккаунте. В итоге, грамотный хакер, имея все эти данные, и решив совершить MITM-атаку, имеет много шансов для захвата биткоин-аккаунта.
Канадский специалист по программированию рекомендует Coinbase внести изменения в отдельные участки исходного кода программы. Так же для повышения защищенности продукта необходимо закрыть доступ к исходному коду client_id и client_secret. Представители Coinbase считают, что вероятность совершения атак типа MITM очень низкая. В реальности подобные атаки могут произойти в исключительных случаях. Размещение части исходного кода в открытом доступе так же входит в политику Coinbase. От дальнейших комментариев по данному вопросу представители компании отказались.
