Эксперты компании Solar Security изучили уровень безопасности мобильных кошельков для криптовалют. Как выяснилось, большинство приложений позволяют злоумышленникам взломать пароли, перехватить пользовательские данные и похитить средства. Средний уровень защищенности составил всего 2,3 балла из пяти.

В исследование вошли 10 криптокошельков: Airbitz, BitPay, Blockchain.info, Bread, Coinbase, Coins.ph, Copay, Luno, Mycelium и Xapo. Список включает как популярные приложения с количеством загрузок от 500 тысяч до 1 млн, так и нишевые продукты, которые тем не менее получают высокие оценки в отраслевых обзорах. Для проверки кода аналитики использовали продукт собственной разработки. Исследование коснулось и iOS, и Android-версий кошельков.

Эксперты обнаружили в большинстве приложений слабые алгоритмы шифрования и хеширования наравне с небезопасными реализациями SSL. Первые уязвимости упрощают злоумышленникам взлом кошельков, открывая доступ к пользовательским конфиденциальным данным. Во втором случае преступник может перехватить информацию даже при установлении защищенного соединения и провести атаку Man-in-the-Middle. Сделать это можно, например, когда жертва подключится к публичному Wi-Fi. В результате конфиденциальность данных будет нарушена, а злоумышленник сможет выполнять любые операции от имени легитимного пользователя.

Помимо этого, в Android-приложениях часто используются так называемые «пустые пароли» — вшитые в код учетные записи с полным доступом. Устранить связанные с ними угрозы может только разработчик при очередном обновлении приложения. До этого злоумышленник может определить параметры учетной записи с помощью декомпиляторов, доступных в Интернете.

По итогам исследования лучшие результаты показало не самое популярное приложение Bread — оно набрало 4,4 балла в Android-исполнении и 4,5 в случае iOS. Ближайший конкурент отстает от него соответственно на 1,5 и 2,1 балла. В Bread относительно немного брешей среднего уровня — три в случае Android и 24 у iOS-приложения, а критические уязвимости отсутствуют вовсе. Для сравнения, в кошельке Mycelium, который оказался на последней позиции рейтинга для iOS, обнаружено почти 150 критических дыр и более 500 угроз средней опасности.

Ранее о проблемах криптокошельков предупреждали эксперты швейцарской компании High-Tech Bridge — практически в каждом подобном приложении они нашли по две критические бреши. На своем сайте исследователи опубликовали специальную утилиту, которая позволяет пользователям оценить безопасность криптокошельков.

Категории: Аналитика, Главное, Кибероборона, Уязвимости