27 листопада 2020 р.

Чим небезпечні браузерні кріптовалютние гаманці?

Чим небезпечні браузерні кріптовалютние гаманці?

Автор статті - Джеймсон Лоппе, технічний директор біткоіни-стартапу Casa і один з розробників Bitcoin Core. Оригінал опубліковано в блозі Casa.

Коли ми говоримо про безпеку крипто-гаманців,основна увага приділяється тому, щоб закриті ключі не потрапляли в чужі руки. Вважається, що якщо зловмисник отримає доступ до закритих ключів, - гра закінчена.

Однак безпеку гаманця полягає нетільки в обмеженні доступу до закритих ключів. Ми також повинні стежити за отриманням і виведенням коштів з гаманця, так як ці операції можуть бути перехоплені зловмисником з метою перенаправлення BTC на свою адресу.

Хоча ніяке програмне забезпечення гаманця не може захистити вас від усіх можливих проблем, ми в Casa ми прийшли до висновку про те, що браузерні гаманці є найбільш уразливими по ряду причин.

Фішинг і шкідливі програми

Фішинг - це практика обману користувача через перенаправлення на сайт, який імітує справжній, з метою отримання облікових даних користувача або завантаження зміненої версії гаманця.

Наприклад, увійшовши на умовний сайт C0inbase,зловмисник може отримати ім'я користувача, пароль і навіть 2FA для доступу до аккаунту Coinbase. Шахраї вже роками маніпулюють рекламою в пошукових системах, щоб обманом змусити користувачів зайти на шкідливий сайт.

Чим небезпечні браузерні кріптовалютние гаманці?

</ P>

Хоча фішингові атаки на веб-гаманці єзвичайною практикою, вони також мали місце щодо десктопних гаманців, які підключаються до віддалених серверів. Так, користувачі популярного біткоіни-гаманця Electrum були атаковані хибним повідомленням про оновлення з шкідливою версією гаманця.

Навіть користувачі апаратного гаманця Trezor,чиї закриті ключі зберігаються в захищеному вигляді на окремому пристрої, виявилися вразливими через веб-гаманець Trezor - уважні користувачі могли помітити, що SSL-сертифікат не відповідає домену. Також часто спливають сайти-самозванці Trezor - користувачі, які випадково наберуть невірний URL-адресу, можуть бути перенаправлені на шкідливий сайт, який виглядає точно так само, як веб-гаманець Trezor.

Чим небезпечні браузерні кріптовалютние гаманці?

</ P>

Зловмисникам добре відомо, що вони не можутьвіддалено отримати закриті ключі з окремих апаратних пристроїв, тому вони використовують слабкі місця в програмному забезпеченні, яке використовується для взаємодії з пристроєм. На сьогоднішній день ці атаки досить прості і просять користувача ввести сид-фразу, що само по собі повинно викликати підозри, але багато користувачів все ще на це попадаються.

Програмне забезпечення десктопних гаманцівтакож вразливе для шкідливих програм, які можуть загрожувати операціями введення / виводу. Це пов'язано з тим, що десктопні операційні системи мають багато векторів атаки, оскільки використовуються для самих різних завдань.

Ми знаємо, що зловмисники навіть отримуваликонтроль над популярними бібліотеками JavaScript, які, як відомо, використовуються в ПО багатьох біткоіни-гаманців. Це особливо складна проблема для багатьох браузерних гаманців, оскільки багато хто з них розроблені на JavaScript.

Існує причина, по якій золотим стандартомбезпеки біткоіни-гаманця вважається використання спеціального апаратного пристрою, такого як Ledger / Trezor / Coldcard / і т.д. Такий пристрій захищає закриті ключі від зловмисників і запускає програмне забезпечення, яке має високу стійкість до злому і забезпечує цілісність згенерованих адрес, що відображаються на екрані пристрою.

Будь-яке програмне забезпечення, яке працює намашині загального призначення, буде легше атакується, хоча мобільні операційні системи, як правило, більш стійкі до злому і краще блокують додатки через пісочницю.

розширення браузера

У той час як десктопні або мобільні гаманці можуть використовуватися при забезпеченні належного рівня безпеки операційної системи, будь-які веб-гаманці мають дуже слабким захистом.

І провайдери цих гаманців можуть зробити не таквже й багато, тому що проблеми безпеки не обмежуються вразливістю їх власної інфраструктури і в багатьох випадках є проблемами кінцевого користувача. Для захисту від шкідливих програм браузерні гаманець слід використовувати тільки на окремому комп'ютері, але більшість користувачів будуть нехтувати цим, піддаючи себе ризику злому.

Одна з особливо тривожних проблем з браузернихгаманцями полягає в тому, що розширення браузера можуть легко отримати повний контроль над усіма даними, доступ до яких здійснюється через браузер. В кінці 2018 року експертами «Лабораторії Касперського» виявили троян, який спеціально призначався для браузерних гаманців і встановлював шкідливі розширення.

Функція findAndReplaceWalletAddresses виконуєпошук гаманців для біткоіни і ефіру і замінює їх адресами гаманців зловмисника. Зокрема, ця функція працює практично на всіх сторінках, крім тих, які розташовані в доменах Google і Yandex, а також на популярних доменах, таких як instagram.com. і ok.ru. Зображення QR-кодів з адресами гаманців також замінюються.

Ми підозрюємо, що проблеми безпекибраузера є однією з причин, по якій компанія Ledger припинила підтримку своїх розширень для Chrome і замість цього вимагає від користувачів установки свого десктопного додатка Ledger Live.

Чим небезпечні браузерні кріптовалютние гаманці?

</ P>

Програмне забезпечення з відкритим вихіднимкодом, як правило, забезпечує більшу надійність, але в мобільних додатках виникають свої складності. В даний час ми не знаємо, як довести, що програмне забезпечення, встановлене через iOS App Store або Google Play, є тим же програмним забезпеченням, яке є в репозиторії з відкритим кодом.

Платіжний протокол, який включає в себекриптографически завірений адресу одержувача адресу одержувача, також може поліпшити цілісність платежів, усуваючи атаку «посередника». Пропозиція щодо поліпшення біткоіни (BIP) 75 робить це - воно було запропоновано ще в 2016 році, але так і не отримало широкого поширення через можливі проблем з конфіденційністю користувачів. Сьогодні рекомендується при відправці великих біктоін-транзакцій підтверджувати адресу по інших каналах (за допомогою відео / аудіо), щоб переконатися в його правильності.

Не довіряйте своєму браузеру!

</ P>

5
/
5
(
1

vote
)