Кошельки Electrum избавились от критической уязвимости

Тогда данная уязвимость была отнесена к критическим, потому что она могла использоваться хакерами для похищения денежных средств с личных электронных кошельков пользователей. Как тогда рассказал специалист, обнаруживший баг, уязвимость позволяет людям через какой-нибудь сайт, который они могут контролировать, перечислять на свои собственные счета денежные средства других пользователей. Такая схема работает только в том случае, если Electrum запущен вместе с браузероми в момент совершения атаки не запаролен. Если же пользователь защищал свой электронный кошелек паролем, но после этого осуществлял транзакции, то пароль ему не поможет. Уязвимости не подвержены только те аккаунты, владельцы которых для авторизации использовали кодовое слово.

Разработчики Electrum долгое время оставляли без внимания обнаруженную уязвимость и не спешили ее устранять, хотя ей уже сразу был присвоен статус критической. Но совсем недавно им поступило еще одно предупреждение. На этот его отправил не какой-то неизвестный исследователь безопасности, скрывающий свое имя под ником, а известный специалист проекта Google Project Zero Тевис Орманди. Он недавно наткнулся на ту же самую проблему, о которой еще осенью рассказал jsmad, после чего узнал, что разработчикам Electrum уже сообщали об этой проблеме. Но он все же решил обратить их внимание на то, что баг относится к высшей степени опасности и требует безотлагательного устранения. Только после этого создатели Electrum немного зашевелились и поработали над устранением проблемы.

После обращения Орманди, специалисты выпустили 7-го января экстренный патч, однако он не смог полностью залатать дыру. А уже на следующий день пользователям стала доступна обновленная версия электронного кошелка под номером 3.0.5. В ней баг окончательно исправлен, поэтому тем пользователям, которые не хотят лишиться своих денежных средств, рекомендуется срочно обновить свой электронный кошелек до версии 3.0.5. Отметим, что создатели Electrum не предусмотрели автоматическое обновление, поэтому пользователи должны самостоятельно позаботиться о своей безопасности и установить обновление.

Как удалось установить экспертам немного позже после детального изучения уязвимости, баг появился в коде Electrum еще в начале 2016 года, когда пользователям стала доступна версия 2.6. Брешь в коде электронного кошелька появилась из-за небезопасной реализации интерфейса JSON-RPC.

На сегодняшний день информация об использовании данной уязвимости и о случаях похищения денежных средств с электронных кошельков пользователей в Сети не появлялась. Однако осенью прошлого года были зафиксированы массовые случаи сканирования интерфейсов JSON-RPC. Возможно, такие манипуляции осуществлялись в рамках подготовки к грядущим атакам.

Чтобы не подвергать себя опасности, специалисты рекомендуют пользователям независимо от используемого ПО регулярно проверять наличие обновлений и обязательно устанавливать их. Это поможет избежать возможных угроз, а также предотвратит хищение личных данных и денежных средств.