Новости
Всё о Windows 10
Windows 8
Windows 7
Новости Windows
Новости НеWindows
Безопасность
Программы
Вокруг софта
Мобильная жизнь
Игры
Интернет
Железо
Наука и техника
Бизнес
Колонка редактора
Не про софт
Программы
Игры
Блоги
Форум
Я 
Софтодром
Мобильные криптокошельки оказались ненадежными
Эксперты компании Solar Security исследовали уровень безопасности мобильных кошельков для криптовалют, пишет Threatpost. Как выяснилось, большинство приложений позволяют злоумышленникам взломать пароли, перехватить пользовательские данные и похитить средства. Средний уровень защищенности составил всего 2,3 балла из пяти. В исследование вошли 10 криптокошельков: Airbitz, BitPay, Blockchain.info, Bread, Coinbase, Coins.ph, Copay, Luno, Mycelium и Xapo. Список включает как популярные приложения с количеством загрузок от 500 тысяч до 1 млн, так и нишевые продукты, которые тем не менее получают высокие оценки в отраслевых обзорах. Для проверки кода аналитики использовали продукт собственной разработки. Исследование коснулось и iOS, и Android-версий кошельков. Эксперты обнаружили в большинстве приложений слабые алгоритмы шифрования и хеширования наравне с небезопасными реализациями SSL. Первые уязвимости упрощают злоумышленникам взлом кошельков, открывая доступ к пользовательским конфиденциальным данным. Во втором случае преступник может перехватить информацию даже при установлении защищенного соединения и провести атаку Man-in-the-Middle. Сделать это можно, например, когда жертва подключится к публичному Wi-Fi. В результате конфиденциальность данных будет нарушена, а злоумышленник сможет выполнять любые операции от имени легитимного пользователя. Помимо этого, в Android-приложениях часто используются так называемые «пустые пароли» — вшитые в код учетные записи с полным доступом. Устранить связанные с ними угрозы может только разработчик при очередном обновлении приложения. До этого злоумышленник может определить параметры учетной записи с помощью декомпиляторов, доступных в Интернете. По итогам исследования лучшие результаты показало не самое популярное приложение Bread — оно набрало 4,4 балла в Android-исполнении и 4,5 в случае iOS. Ближайший конкурент отстает от него соответственно на 1,5 и 2,1 балла. В Bread относительно немного брешей среднего уровня — три в случае Android и 24 у iOS-приложения, а критические уязвимости отсутствуют вовсе. Для сравнения, в кошельке Mycelium, который оказался на последней позиции рейтинга для iOS, обнаружено почти 150 критических дыр и более 500 угроз средней опасности.
|
|
Все рубрики статей:
|
Топ-сегодня: Безопасность
Специалисты проникли в локальную сеть через факс Для осуществления атаки достаточно послать на целевое устройство специальный графический файл с вписанным в него вредоносным скриптом Каждый 20-й эксперт по кибербезопасности занимается серым хакерством Около 5% сотрудников, отвечающих за компьютерную безопасность организаций, являются так называемыми «серыми хакерами» Следственный комитет России закупил в Китае комплексы для извлечения данных из смартфонов Китайский аппаратно-программный комплекс MagiCube способен взламывать устройства с операционными системами Android и iOS, а также декодировать историю сообщений в мессенджерах Google уличили в слежке за перемещениями пользователей Компания Google собирает информацию о перемещениях смартфонов, на которых установлены ее приложения, даже в том случае, когда их владельцы запретили системе записывать историю своих передвижений В системах умных городов нашли 17 уязвимостей нулевого дня
Присутствие в системах, управляющих городами будущего, таких тривиальных багов, как жестко закодированные логин и пароль, наводит на тревожные мысли |
Новые статьи: Безопасность
Специалисты проникли в локальную сеть через факс Для осуществления атаки достаточно послать на целевое устройство специальный графический файл с вписанным в него вредоносным скриптом Следственный комитет России закупил в Китае комплексы для извлечения данных из смартфонов Китайский аппаратно-программный комплекс MagiCube способен взламывать устройства с операционными системами Android и iOS, а также декодировать историю сообщений в мессенджерах Каждый 20-й эксперт по кибербезопасности занимается серым хакерством Около 5% сотрудников, отвечающих за компьютерную безопасность организаций, являются так называемыми «серыми хакерами» Google уличили в слежке за перемещениями пользователей Компания Google собирает информацию о перемещениях смартфонов, на которых установлены ее приложения, даже в том случае, когда их владельцы запретили системе записывать историю своих передвижений В системах умных городов нашли 17 уязвимостей нулевого дня
Присутствие в системах, управляющих городами будущего, таких тривиальных багов, как жестко закодированные логин и пароль, наводит на тревожные мысли |