Создатели биткойн-кошелька Electrum устранили уязвимость, которая угрожала денежным средствам его пользователей. Брешь оставалась в приложении почти два года. Компания смогла закрыть ее только после нескольких предупреждений о растущей активности киберпреступников.

Уязвимость существовала в интерфейсе JSON RPC (JavaScript Object Notation Remote Procedure Call). Это протокол удаленного доступа, который позволяет сторонним приложениям обмениваться данными с программным продуктом и проводить различные операции. В криптокошельках JSON RPC обеспечивает, в частности, расчеты при покупках и проведение денежных переводов. Для обеспечения безопасности владельцу кошелька следует защитить его паролем и привязать к своему компьютеру. В противном случае невозможно проконтролировать, какие приложения могут проводить операции с денежными средствами.

В конце ноября журналисты Bleeping Computer сообщили об активности ботов, сканирующих Интернет в поисках незащищенных портов JSON RPC. Уязвимость позволяет злоумышленникам менять настройки кошелька, редактировать список контактов и публичных ключей. Один из пользователей обратил внимание, что в кошельках Electrum также используется открытый протокол, и сообщил об этом компании-разработчику. Однако реакция последовала только после того, как специалист по информационной безопасности Google Тэвис Орманди (Tavis Ormandy) продемонстрировал рабочий способ воровства. Он создал страницу с веб-скриптом, который за считаные секунды находил открытый порт и проводил нелегитимные операции с пользовательскими средствами. Обновление Electrum последовало через два дня.

По информации Electrum, преступники не успели использовать уязвимость для мошеннических операций. Разработчики призвали всех пользователей срочно обновить ПО, а владельцев незащищенных кошельков — завести новые и закрыть их паролем. Список контактов следует удалить, поскольку злоумышленники могли подменить легитимные адреса на собственные.

Создатели криптокошельков зачастую пренебрегают средствами защиты своих продуктов, открывая преступникам возможности для хищения средств и других преступлений. Кроме того, злоумышленники крадут учетные данные пользователей через поддельные приложения, которые маскируются под официальные кошельки, либо вмешиваются в процессы перевода, меняя адрес получателя на свой. По оценкам “Лаборатории Касперского”, каждая подобная кампания может приносить преступникам от 100 тысяч долларов и выше.

Категории: Кибероборона