Разработчики Monero выпустили новую заплату для восстановления системы безопасности против уязвимости, которая было обнаружена в приложении кошелька, делая его подверженным атакам CSRF.
Благодаря дополнительной конфиденциальности и безопасности, Monero, как валюта даркнета, составляет конкуренцию биткоину. Тем не менее, последнее предупреждение системы безопасности указало на то, что даже если транзакции Monero безопасны и надежны, то кошельки часто таковыми не являются.
Компания MWR Labs, работающая в области кибербезопасности, ранее в этом месяце выпустила рекомендации с указанием уязвимости CrossSiteRequestForgery. Эта уязвимость может потенциально позволить злоумышленнику удаленно украсть криптовалюту Monero у пользователей, использующих скомпрометированную версию кошелька. В список уязвимых кошельков включены Monero SimpleWallet, LightWallet, Wallet Chrome, GUI Client.net, Minonodo и другие кошельки, написанные на JS, NodeJS и QT.
Все эти кошельки, как известно, размещали веб-сервис RPC на локальном порте 10802, который устранял необходимость пользовательской аутентификации во время совершения платежа. MWR Labs в своих рекомендациях опубликовала фрагмент кода, который может быть использован для эксплуатации данной уязвимости. Он выглядит следующим образом:
<html>
<form action=http://127.0.0.1:18082/json_rpc method=post enctype="text/plain" name="pay" >
<input name='{"jsonrpc":"2.0","id":"0","method":"transfer","params":{"destinations":[{"amount":100000000000,"address":"49FuXtv95dkZj5aDaoWkbjQRv9Qu6UMwAAJKP68vksbpRJEPNZfkr6Ecbj9wrqG4xHAiMArmpGsxRbkmxAC8NEydBEvc162"}],"fee":000000000000,"mixin":3,"unlock_time":0,"payment_id":"","get_tx_key":true}}' type='hidden'>
</form>
<script>
document.pay.submit()
</script>
</html>
Поскольку эта проблема была обнародована, команда Monero исправила ее выпуском патча. Заплата теперь доступна на GitHub и совместима только с версиями кошельков, принадлежавших платформе. До сих пор неизвестно, пострадали ли сторонние сервисы от вышеупомянутой уязвимости. Если такие случаи были, то возникает вопрос: применима ли заплата них.
Тем временем, сообщество Monero должно обновить свои кошельки, чтобы обеспечить их безопасность. Те, кто использует сторонние сервисы и не в курсе о состоянии безопасности своих кошельков, должны переключиться на официальный клиент Monero, пока сервис-поставщик кошелька не подтвердит его безопасность.
CrossSiteRequestForgery (подделка межсайтовых запросов) - это злонамеренная атака, при которой злоумышленник заставляет браузер пользователя выполнять несанкционированные команды. Эти команды могут быть направлены против веб-приложений или сервисов. В данном случае, Cross Site Request Forgery может быть использована злоумышленником для осуществления платежей из кошелька пользователя на свой собственный кошелек.
