Мы призываем отказаться от биткоина!

Обнаружен CSRF-баг, позволяющий компрометировать кошельки Monero и похищать деньги

Тема в разделе "Новости форков", создана пользователем FanatMonet, 21 сен 2016.

  1. FanatMonet

    FanatMonet Постоянный пользователь

    Симпатии:
    562
    В последнее время упоминания о криптовалюте Monero стали встречаться в сети очень часто. Это неудивительно, ведь на сегодня Monero является второй по популярности криптовалютой после Bitcoin. В минувший понедельник, 19 сентября 2016 года, специалисты компании MWR InfoSecurity опубликовали данные об уязвимости, которая позволяет похищать средства у людей, которые пользуются сторонними цифровыми кошельками Monero.

    Исследователи пишут, что им удалось обнаружить уязвимость CSRF (Cross Site Request Forgery) в Monero Simplewallet. Для эксплуатации бага злоумышленнику достаточно заманить пользователя на вредоносный сайт, после чего из кошелька жертвы фактически можно забирать деньги. Специалисты подчеркивают, что эксплуатация уязвимости потребует минимальных усилий и простейшей социальной инженерии.

    Большинство сторонних кошельков используют Simplewallet в режиме RPC, поэтому уязвимость представляет угрозу для:

    Эксперты подчеркивают, что это неполный список и, скорее всего, уязвимых кошельков куда больше.

    Проблема заключается в том, что Monero SimpleWallet хостит RPC веб-сервис «по адресу» localhost, порт 18082. Данный веб-сервис не требует никакой аутентификации для таких операций как совершение платежей, и может быть скомпрометирован при помощи CSRF-атаки. В своем блоге исследователи опубликовали эксплоит для осуществление такой атаки и автоматического хищения средств с кошельков пользователей, посетивших вредоносную страницу.

    Патч для данной проблемы был представлен 18 сентября, однако исследователи MWR InfoSecurity пишут, что по умолчанию исправление не активно, а для его активации нужно добавить «--user-agent» как на образце ниже.

    ./monero-wallet-cli --rpc-bind-port 18082 --rpc-bind-ip 127.0.0.1 --user-agent 123456randomstring

    «Важно понимать, что уязвимость опасна только для систем, где кошелек запущен в RPC режиме (не дефолтном), а также запущен браузер», — говорит разработчик Monero Рикардо Спаньи (Riccardo Spagni).

    Очевидно, Спаньи подразумевает, что большинство пользователей SimpleWallet вне опасности, так как SimpleWallet представляет собой командную строку, и в основном им пользуются продвинутые индивиды. По мнению разработчика, именно это решение предпочитает большинство пользователей Monero.

    В свою очередь исследователь из MWR InfoSecurity, Генри Хоггард (Henry Hoggard), предупреждает, что уязвимость по-прежнему может представлять угрозу для пользователей сторонних кошельков, которые обладают графическим интерфейсом и рассчитаны на менее подготовленную публику (например, кошелек Monero для Chrome). Если такие пользователи не обновят ПО вовремя, они по-прежнему будут уязвимы.
    https://xakep.ru/2016/09/20/monero-csrf/?amp