Компанія Solar Security представила перше дослідження, яке розглядає різні загрози безпеці мобільних біткоін-гаманців – від недостатньо надійних методів захисту паролів до вразливості докладання до різних типів відомих атак та експлойтів.

Біткоїн-гаманець – це програма, яка зберігає закритий (секретний) ключ для доступу до криптовалюти, що належить користувачеві, та проведення транзакцій з нею. Для участі у дослідженні були обрані міжнародні популярні безкоштовні мобільні програми для проведення операцій з біткоінами – Airbitz, BitPay, Blockchain, Bread, Coinbase, Coins.ph, Copay, Luno, Mycelium та Xapo. Кожна програма розглядалася у двох реалізаціях – для мобільних ОС iOS та Android.

В основу дослідження лягли звіти, автоматично сформовані за допомогою програми Solar inCode, яка використовує методи статичного, динамічного та інтерактивного аналізу коду та здатна перевіряти рівень захищеності додатків без доступу до їх вихідного коду. У звітах про сканування біткоін-гаманців міститься загальна оцінка захищеності програми за п'ятибальною шкалою, список виявлених закладок, відомих уразливостей та помилок, ранжованих за рівнем критичності.

Як показало дослідження, середній рівень захищеності биткоин-гаманців для платформ Android та iOS приблизно дорівнює і знаходиться на позначці вище середнього показника по галузі. Однак це класичний приклад «середньої температури по лікарні», оскільки рівень захищеності дуже відрізняється навіть серед реалізацій одного й того ж додатку під різні платформи. Так, Mycelium у реалізації для Android містить набагато більше відомих потенційних уразливостей, ніж для iOS, а BitPay та Copay, навпаки, краще використовувати на Android-пристроях.

У трійку найбільш захищених биткоин-гаманців для Android увійшли Bread, BitPay/Copay та Luno. Лідерами серед iOS-додатків для операцій із криптовалютами стали Bread, Mycelium та Blockchain. Найнижчий сукупний результат у Xapo. Єдиний гаманець, що показав відмінні результати в обох порівняннях, це додаток Bread.

Серед найбільш вразливостей, що найчастіше зустрічалися в биткоин-гаманцях, можна виділити небезпечну реалізацію SSL, а також слабкі алгоритми шифрування і хешування. Їхня успішна експлуатація може призвести до компрометації логінів, паролів і всього трафіку, що йде через додаток. На практиці це загрожує користувачам зломом гаманця та крадіжкою криптовалюти. Не всі виявлені вразливості однаково легко експлуатуються, проте додатки, що оперують валютами, не повинні недбало ставитися до будь-яких потенційних вразливості.

Під час підготовки дослідження декомпіляція і деобфускація додатків не проводилася. Статичний аналіз здійснювався щодо бінарного коду.

Інші новини