Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчики устранили уязвимость, которая открывала доступ к денежным средствам пользователей.
Создатели биткойн-кошелька Electrum устранили уязвимость, которая угрожала денежным средствам его пользователей. Брешь оставалась в приложении почти два года. Компания смогла закрыть ее только после нескольких предупреждений о растущей активности киберпреступников.
Уязвимость существовала в интерфейсе JSON RPC (JavaScript Object Notation Remote Procedure Call). Это протокол удаленного доступа, который позволяет сторонним приложениям обмениваться данными с программным продуктом и проводить различные операции. В криптокошельках JSON RPC обеспечивает, в частности, расчеты при покупках и проведение денежных переводов. Для обеспечения безопасности владельцу кошелька следует защитить его паролем и привязать к своему компьютеру. В противном случае невозможно проконтролировать, какие приложения могут проводить операции с денежными средствами.
В конце ноября журналисты Bleeping Computer сообщили об активности ботов, сканирующих Интернет в поисках незащищенных портов JSON RPC. Уязвимость позволяет злоумышленникам менять настройки кошелька, редактировать список контактов и публичных ключей. Один из пользователей обратил внимание, что в кошельках Electrum также используется открытый протокол, и сообщил об этом компании-разработчику. Однако реакция последовала только после того, как специалист по информационной безопасности Google Тэвис Орманди (Tavis Ormandy) продемонстрировал рабочий способ воровства. Он создал страницу с веб-скриптом, который за считаные секунды находил открытый порт и проводил нелегитимные операции с пользовательскими средствами. Обновление Electrum последовало через два дня.
По информации Electrum, преступники не успели использовать уязвимость для мошеннических операций. Разработчики призвали всех пользователей срочно обновить ПО, а владельцев незащищенных кошельков — завести новые и закрыть их паролем. Список контактов следует удалить, поскольку злоумышленники могли подменить легитимные адреса на собственные.
Создатели криптокошельков зачастую пренебрегают средствами защиты своих продуктов, открывая преступникам возможности для хищения средств и других преступлений. Кроме того, злоумышленники крадут учетные данные пользователей через поддельные приложения, которые маскируются под официальные кошельки, либо вмешиваются в процессы перевода, меняя адрес получателя на свой. По оценкам «Лаборатории Касперского», каждая подобная кампания может приносить преступникам от 100 тысяч долларов и выше.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |