Исследование: 94% приложений для криптовалют имеют серьезные уязвимости

Исследование: 94% приложений для криптовалют имеют серьезные уязвимости

Интерес пользователей к криптовалютам и блокчейну растет, а вместе с ним растет внимание хакеров и кибермошенников к мобильным приложениям, благодаря которым осуществляются денежные операции.

Преступники выдумывают новые и новые методы похищения денежных средств и криптокошельков, к примеру, публикуя фейковые приложения, замаскированные под легитимные.

Но, как узнала компания High-Tech Bridge, занимающаяся информбезопасностью, кроме того легальные приложения для операций с криптовалютами воображают опасность: фактически все они имеют уязвимости различной степени критичности.

Устаревшая защита сверхновой разработке

Общее число приложений в Гугл Play, каковые разрешают хранить, передавать либо торговать криптовалютой, превысило 2 тыс. и продолжает собственный рост. Очевидно, хакеры не смогли потерять возможность «войти на новый рынок» цифровой валюты и ведут агрессивную атакующую политику по отношению к его участникам.

Фактически каждую семь дней появляются сообщения о компрометации той либо другой криптовалютной биржи, каковые приводят к многомиллионным утратам.

Изучение High-Tech Bridge затронуло 90 самых популярных приложений из Гугл Play, которые связаны с криптовалютами. Они были распределены по трем категориям в соответствии с числу скачиваний — до 100 тыс., до 500 тыс. и более чем 500 тыс. соответственно.

Наряду с этим 66% приложений из последней, самой популярной категории не пользуются надёжным протоколом HTTPS, 94% таких приложений имеют как минимум по три уязвимости умеренной группы риска, и еще столько же владеют устаревшим шифрованием.

В этих приложениях хранится тайная информация о операциях и кошельке пользователя, кража которой может аукнуться огромными финансовыми утратами.

Что характерно, хакеры разламывают не только приложения, каковые реализовывают торговлю криптовалютой, но и те, каковые данные с биржи — к примеру, текущую цена биткоина. Преступники программируют их так, дабы они показывали недостоверные эти — так, возможно замотивировать человека реализовать либо приобрести криптовалюту, введя его в заблуждение.

Новости smi2.ru

Такие атаки не массов , а являются скорее таргетированными на конкретных людей, однако, существующие уязвимости в популярных приложениях лишь облегчают работу мошенников.

В большинстве случаев, рост цены той либо другой криптовалюты провоцирует их на более активные действия, так что в такие периоды специалисты по кибербезопасности советуют быть особенно осмотрительными и пользоваться двухфакторной аутентификацией.

Стандартов безопасности до тех пор пока нет

К сожалению, взломать возможно не только мобильные приложения, но и сами криптоплатформы, как, к примеру, произошло в июле 2017 года с платформой CoinDash, которая лишь начала собственную работу. Хакеры подделали адрес на сайте, предлагая инвесторам обменять криптовалюту «эфир» на токены CoinDash.

В следствии преступники смогли похитить «эфира» на $7 млн.

В том же месяце мошенники нападали криптовалютный сервис Veritaseum, что в мае запустил процедуру ICO [аналог IPO для криптовалют — «Газета.Ru»]. Хакеры похитили токены VERI и перепродали их вторым клиентам.

Всего им удалось получить $8 млн.

Ноябрь 2017 года также был отмечен большим криптовзломом — атаке подвергся сервис Tether.to, посвященный одноименной валюте.

В этом случае хакеры смогли похитить токенов на $30 млн.

Менеджер по группе продуктов ESET Russia Сергей Кузнецов в беседе с «Газетой.Ru» дал согласие, что ненадежность софта для криптопераций не есть чем-то необычным — с учетом шума около всего, что связано с криптовалютами, интерес разработчиков приложений к данной теме очевиден.

«Вместе с этим, стандартов надёжного проектирования на этом рынке практически не существует.

Нет правил и нормативов — равно как и единого правового статуса криптовалют и связанных с ними операций.

Возможно, к обеспечению защиты приложений придем способом ошибок и проб, по окончании серии инцидентов», — пояснил Кузнецов.

Глава департамента мобильных мобильной безопасности и угроз Avast Николаос Крисайдос поведал «Газете.Ru» и о второй угрозе, которая связана с приложениями для криптовалют — замене настоящих приложений на мошеннические посредством маскировки.

«Мы уже столкнулись с криптомайнерами, маскирующимися под популярные приложения Гугл Play Store. Так что я не удивлюсь фейковому приложению для операций с криптовалютой, которое будет майнить за поясницами пользователей», — заявил Крисайдос.

В большинстве случаев в официальных магазинах приложений проводится тщательная проверка безопасности, но вредоносные приложения смогут иногда обходить совокупности верификации, исходя из этого пользователям направляться контролировать, что приложение создано надежным источником.

Курс ВСЕХ криптовалют в одном месте. Приложение CoinCap.


Вы прочитали статью, но не прочитали журнал…

Читайте также: