两年后,Electrum 比特币钱包 app 终于发现了这个漏洞
翻译:360代码卫士团队
Electrum 比特币钱包 app 的管理员发布安全更新修复软件中几乎已存在两年之久的一个漏洞。而颇具讽刺意味的是,这个漏洞是一名用户在阅读一篇 Bleeping Computer 文章后发现的。
Bleeping Computer 发布一篇关于恶意人员通过暴露在互联网上的 JSON RPC 端口扫描互联网寻找以太坊钱包的文章后,一名用户名为 “jsmad” 的用户向 Electrum 团队称他们的钱包中也暴露了一个类似的 JSON RPC。
JSON RPC 界面是一个标准的软件设计元素,开发人员可经由这个元素在其它软件中打开自己的应用。第三方软件能够调用这个界面并和原始 app 的数据和功能进行交互。
JSON RPC 的配置方式有很多种,均由软件目标决定,不过最佳的安全实践是设置密码保护并将界面绑定到本地主机上,即只有在本地安装且知晓密码的 app 才能和 JSON RPC 端点交互。
Jsmad 表示,Electrum 团队通过密码保护 JSON RPC 界面,因此只有知道钱包密码的用户和应用能与之交互。
但最初的漏洞报告并未说服 Electrum 团队这是一个需要修复的问题。不过上周末,谷歌著名安全研究员 Tavis Ormandy 提供了更多的上下文,解释为何 Electrum 钱包的 JSON RPC 接口遭暴露会引发严重问题。Ormandy 解释称,“JSON RPC 服务器是默认开启的,它确实使用了随机端口,但一个网站就能在几秒钟内扫描到正确的端口。”
Ormandy 表示,攻击者能诱骗 Electrum 用户访问恶意网站,后者能在几秒内扫描并识别出随机 JSON RPC 端口,并向钱包发布恶意命令。
网上已出现了一个 PoC 攻击代码,一名推特用户根据 Ormandy 的描述录制了一段视频。
上周末,Electrum 团队为 Electrum 钱包版本 3.0.4 发布了紧急修复方案,并在本周发布了永久补丁即发布版本 3.0.5。
从一份详细的事件响应报告来看,Electrum 团队认为 JSON RPC 早在2016年2月发布的Electrum 版本2.6中就存在。目前Electrum 团队督促用户更新至最新版本的钱包。
受到 Ormandy 漏洞报告的启发,思科Talos 团队也报告了 CPP 和 Parity 以太坊钱包被暴露 JSON RPC 端点中存在的五个问题。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/electrum-bitcoin-wallets-left-exposed-to-hacks-for-two-years/