Еще в ноябре 2017 года пользователь GitHub, известный как jsmad, обратил внимание разработчиков криптовалютного кошелька Electrum на обнаруженную в коде проблему. Как выяснилось, баг позволял любому сайту и людям, которые его контролируют, похищать средства пользователя, если Electrum был запущен одновременно с браузером и не защищен паролем. Если пароль все же был установлен, это должно было защитить пользователя, если тот не осуществлял транзакций.
К сожалению, осознать всю опасность проблемы в полной мере разработчики Electrum сумели только после дополнительного предупреждения, полученного от специалиста Google Project Zero Тевиса Орманди. Недавно эксперт обнаружил ту же самую уязвимость, узнал, что о ней уже сообщали ранее, и обратил внимание разработчиков на тот факт, что баг в высшей степени опасный.
The bitcoin wallet Electrum allows any website to steal your bitcoins. I was gonna report it...but there was already an open issue from last year. I pointed out this is kinda critical, and they made a new release within a few hours. Update to 3.0.4 if you use it.
— Tavis Ormandy (@taviso) January 7, 2018
В результате 7 января 2018 года для Electrum был выпущен экстренный патч, а 8 января появилась новая версия кошелька (3.0.5), в которой уязвимость была устранена окончательно. Так как кошельки не предусматривают автоматического обновления, теперь безопасность пользователей в их собственных руках и зависит от того, как часто они проверяют обновления ПО.
New release: 3.0.5. (security update). https://t.co/Y2DXoUyOgk
— Electrum (@ElectrumWallet) January 8, 2018
Please upgrade; release 3.0.4 did not completely address the vulnerability.https://t.co/rNyItkvMLb
Как выяснилось, уязвимость присутствовала в коде Electrum с начала 2016 года, с версии 2.6. Проблема связана с интерфейсом JSON-RPC, реализация которого в Electrum оказалась небезопасной. Ниже можно увидеть демонстрацию работы простого proof-of-concept эксплоита.
Update your #electrum wallets. Only having the program running and surfing the web can be unsafe. Any website can steal your wallet if it is not protected with a password or if it's easy to guess it can be bruteforced #bitcoin pic.twitter.com/MYq1u9ZZbt
— h43z (@h43z) January 7, 2018
Доподлинно неизвестно, знали ли о данной проблеме злоумышленники, и были ли случаи ее реальной эксплуатации и хищения средств. Стоит заметить, что еще в ноябре 2017 года ИБ-эксперты зафиксировали волну сканирований: тогда неизвестные лица прицельно искали «смотрящие» в интернет интерфейсы JSON-RPC.
Фото: Depositphotos