Генеральний директор Binance критикує Firefox через вразливість до трояна


Published on 24 Jun. 2019
Cyber security 3400555 1920

Вразливість, що дозволяє віддалене виконання коду (несанкціоноване використання) у Firefox, була використана проти співробітників Coinbase минулого тижня. Ця вразливість дозволила зловмисникам аварійно закрити браузер і виконати код, в тому числі встановити бекдор з трояном. Невідомо, як довго цей баґ би діяв, але оціночно - як мінімум два тижні.

Жоден з користувачів Coinbase не постраждав. Ось сценарій, де баг міг вплинути на користувачів біржі:

Користувач скомпрометований підробленим електронним листом від Coinbase, що закликає його щось зробити. Вони перенаправляють на корисне навантаження, яке встановлює троян. Tроян дозволяє зловмисникам переглядати екрани щось на зразок TeamViewer. Наступного разу, коли користувач перейде до біржі, нападник спостерігає. Якщо користувач має встановлене 2FA (двофазову перевірку ідентифікації), зловмисник чекає, поки кошти перебуватимуть у процесі виведення, і змінює адресу виводу. Або, що ще гірше, користувач не має 2FA, а зловмисник відкриває дублікат браузера у фоновому режимі і обробляє вивід для себе.

Є ще більш винахідливі способи, ніж це, щоб використовувати вразливість.

Головний співробітник з безпеки Coinbase Філіп Мартін впевнений, що Coinbase не єдина крипто-мішень. Він також вказує, що його команда не знайшла доказів компрометованих клієнтів - тільки працівників.

Відповідно до інших звітів, кваліфіковані зловмисники мабуть мають глибокий досвід використання вразливостей нульового дня. У принаймні в одному випадку, користувач був направлений після відвідування криптовалютної біржі. Він отримав електронний лист, який містив посилання. Посилання спробувало встановити бекдор на його комп'ютер Mac.

Coinbase не повідомляє про фінансові втрати в результаті нападу. Firefox усунув вразливість, але деякі люди не задоволені цим.

Генеральний директор Binance Changpeng Zhao закликав людей припинити використання Firefox:

Генеральний директор не повідомив, чи стала його біржа мішенню шкідливого програмного забезпечення, але, мабуть, він був би головним серед цілей поряд з Coinbase.

Баг Firefox з’явився саме у той час, коли браузер пообіцяв відновити себе, ще раз, знову ставши найшвидшим у світі браузером і, як повідомляється, розгортати преміальні послуги.


More news

Крейґ Райт розплакався у суді під час слухання позову поданого на нього у розмірі $10 млрд


Самопроголошений творець біткойна Крейґ Райт (Craig Wright) плакав у суді під час перехресного допиту під час криптовалютного судового позову в розмірі $10 млрд, поданому проти нього родиною померлого комп'ютерного генія Дейва Клеймана.

29 Jun. 2019

Goldman Sachs впроваджує блокчейн для внутрішніх потреб


Можливо, світ блокчейна просунувся набагато далі, ніж нам хотілося б визнати. Повідомляється, що Goldman Sachs більше цікавить блокчейн, ніж коли-небудь, з поглибленим дослідженням токенізації.

29 Jun. 2019

На Bitmex спостерігалася шорт ліквідація $500 млн за 24 години


Торгівельна діяльність біткойна досягла рекордних обсягів та відкритого інтересу до ф'ючерсів біткойна. Остання торгівельна активність призвела до того, що значення біткойна досяга 17-місячного максимуму, змушуючи величезну кількість Bitmex-продавців різко ліквідувати свої позиції.

28 Jun. 2019