* Почему не стоит пользоваться браузерными кошельками — объясняет разработчик Bitcoin Core (08.11.2019) go

Автор статьи — Джеймсон Лопп, технический директор биткоин-стартапа Casa и один из разработчиков Bitcoin Core. Оригинал опубликован в блоге Casa.

Когда мы говорим о безопасности биткоин-кошельков, основное внимание уделяется тому, чтобы закрытые ключи не попадали в чужие руки. Считается, что если злоумышленник получит доступ к закрытым ключам, — игра окончена.

Однако безопасность кошелька заключается не только в ограничении доступа к закрытым ключам. Мы также должны следить за получением и выводом средств с кошелька, так как эти операции могут быть перехвачены злоумышленником с целью перенаправления BTC на свой адрес.

Хотя никакое программное обеспечение кошелька не может защитить вас от всех возможных проблем, мы в Casa мы пришли к выводу о том, что браузерные кошельки являются наиболее уязвимыми по ряду причин.

Фишинг и вредоносные программы

Фишинг — это практика обмана пользователя через перенаправление на сайт, который имитирует настоящий, с целью получения учетных данных пользователя или загрузки измененной версии кошелька.

Например, войдя на условный сайт C0inbase, злоумышленник может получить имя пользователя, пароль и даже 2FA для доступа к аккаунту Coinbase. Мошенники уже годами манипулируют рекламой в поисковых системах, чтобы обманом заставить пользователей зайти на вредоносный сайт.

Хотя фишинговые атаки на веб-кошельки являются обычной практикой, они также имели место в отношении десктопных кошельков, которые подключаются к удаленным серверам. Так, пользователи популярного биткоин-кошелька Electrum были атакованы ложным уведомлением об обновлении с вредоносной версией кошелька.

Даже пользователи Trezor, чьи закрытые ключи хранятся в защищенном виде на отдельном устройстве, оказались уязвимы через веб-кошелек Trezor — внимательные пользователи могли заметить, что SSL-сертификат не соответствует домену. Также часто всплывают сайты-самозванцы Trezor — пользователи, которые случайно наберут неверный URL-адрес, могут быть перенаправлены на вредоносный сайт, который выглядит точно так же, как веб-кошелек Trezor.

Злоумышленникам хорошо известно, что они не могут удаленно извлечь закрытые ключи из отдельных аппаратных устройств, поэтому они используют слабые места в программном обеспечении, которое используется для взаимодействия с устройством. На сегодняшний день эти атаки довольно просты и просят пользователя ввести сид-фразу, что само по себе должно вызвать подозрения, но многие пользователи всё ещё на это попадаются.

Программное обеспечение десктопных кошельков также уязвимо для вредоносных программ, которые могут угрожать операциям ввода/вывода. Это связано с тем, что десктопные операционные системы имеют много векторов атаки, поскольку используются для самых разных задач.

Мы знаем, что злоумышленники даже получали контроль над популярными библиотеками JavaScript, которые, как известно, используются в ПО многих биткоин-кошельков. Это особенно сложная проблема для многих браузерных кошельков, поскольку многие из них разработаны на JavaScript.

Существует причина, по которой золотым стандартом безопасности биткоин-кошелька считается использование специального аппаратного устройства, такого как Ledger/ Trezor/Coldcard/ и т.д. Такое устройство защищает закрытые ключи от злоумышленников и запускает программное обеспечение, которое обладает высокой устойчивостью к взлому и обеспечивает целостность сгенерированных адресов, отображаемых на экране устройства.

Любое программное обеспечение, работающее на машине общего назначения, будет более легко атакуемым, хотя мобильные операционные системы, как правило, более устойчивы к взлому и лучше блокируют приложения через песочницу.

Расширения браузера

В то время как десктопные или мобильные кошельки могут использоваться при обеспечении надлежащего уровня безопасности операционной системы, любые веб-кошельки обладают очень слабой защитой.

И провайдеры этих кошельков могут сделать не так уж много, потому что проблемы безопасности не ограничиваются уязвимостью их собственной инфраструктуры и во многих случаях являются проблемами конечного пользователя. Для защиты от вредоносных программ браузерный кошелек следует использовать только на отдельном компьютере, но большинство пользователей будут пренебрегать этим, подвергая себя риску взлома.

Одна из особенно тревожных проблем с браузерными кошельками заключается в том, что расширения браузера могут легко получить полный контроль над всеми данными, доступ к которым осуществляется через браузер. В конце 2018 года экспертами «Лаборатории Касперского» был обнаружен троян, который специально предназначался для браузерных кошельков и устанавливал вредоносные расширения.

Функция findAndReplaceWalletAddresses выполняет поиск кошельков для биткоина и эфира и заменяет их адресами кошельков злоумышленника. В частности, эта функция работает практически на всех страницах, кроме тех, которые расположены в доменах Google и Yandex, а также на популярных доменах, таких как instagram.com. и ok.ru. Изображения QR-кодов с адресами кошельков также заменяются.

Мы подозреваем, что проблемы безопасности браузера являются одной из причин, по которой компания Ledger прекратила поддержку своих расширений для Chrome и вместо этого требует от пользователей установки своего десктопного приложения Ledger Live.

Программное обеспечение с открытым исходным кодом, как правило, обеспечивает большую надежность, но в мобильных приложениях возникают свои сложности. В настоящее время мы не знаем, как доказать, что программное обеспечение, установленное через iOS App Store или Google Play, является тем же программным обеспечением, которое доступно в репозитории с открытым кодом.

Платежный протокол, который включает в себя криптографически заверенный адрес получателя адрес получателя, также может улучшить целостность платежей, устраняя атаку «посредника». Предложение по улучшению биткоина (BIP) 75 делает это — оно было предложен еще в 2016 году, но так и не получило широкого распространения из-за возможных проблем с конфиденциальностью пользователей. Сегодня рекомендуется при отправке крупных биктоин-транзакций подтверждать адрес по другим каналам (посредством видео/аудио), чтобы убедиться в его правильности.

Не доверяйте своему браузеру!


Источник: https://coinspot.io/beginners/pochemu-ne-stoit-polzovatsya-brauzernymi-koshelkami-obyasnyaet-razrabotchik-bitcoin-core/

*Биткойн бесплатно получить

*Купить, продать, обменять Биткойн
Теги: Новичкам yandex биткоин-кошельки Джеймсон Лопп
Поделиться:
[vk] [fb] [tw] [ok] [mr] [lj]
Рубрики Обменный курс Биткойн Менеджер кранов
Новости биткойн и блокчейн-технологий
*Россиянка смогла через суд вернуть 150 000 рублей, которые она вложила в криптопроект (06.12.2019) go
Через суд жительница Екатеринбурга вернула свои деньги, которые она ранее инвестировала в фейковый криптовалютный проект. Об этом сообщил портал «Накануне.RU» со ссылкой на пресс-центр Свердловского областного суда. В мае 2017 года на нее вышел некий мужчина, объявивший себя представителем организации Pro100Business Airbitclub… Подробнее ›
*Мнучин: создание цифровой валюты не входит в планы Федерального резерва (06.12.2019) go
Создание собственной цифровой валюты не входит в планы США на ближайшие пять лет. Об этом министр финансов Стивен Мнучин рассказал на слушаниях комитета по финансовым услугам Палаты представителей Конгресса США, передает Bloomberg. По словам Мнучина, он обсудил возможность создания цифровой валюты с главой Федерального резерва (ФРС) Джеромом Пауэллом… Подробнее ›
*Оценка блокчейн-стартапа выросла до $1,2 млрд после инвестиций от компании Энтони Помплиано (06.12.2019) go
Финтех-стартап Figure Technologies привлек $103 млн в рамках раунда финансирования Серии С. Оценка компании выросла до $1,2 млрд. Раунд возглавила венчурная фирма Morgan Creek Digital при участии MUFG Innovation Partners и других инвесторов, пишет The Block. Figure привлек совокупно $225 млн от таких игроков, как Digital Currency Group… Подробнее ›
*Евросоюз запретил использование стейблкойнов (06.12.2019) go
Криптовалюты, подобные Libra от Facebook, будут легализованы только в случае выявления и устранения всех сопутствующих рисков, заявили в Совете ЕС. Евросоюз не разрешил использование на своей территории стейблкойнов, таких как Libra. В Совете ЕС объяснили, что легализация оборота таких криптовалют возможна только после выявления и устранения всех юридических и надзорных рисков… Подробнее ›
*Биткоин-биржа OKEx договорилась о сотрудничестве с Блокчейн Ассоциацией Украины (06.12.2019) go
Блокчейн Ассоциация Украины (БАУ) подписала меморандум о сотрудничестве с криптовалютной биржей OKEx. Об этом в Facebook сообщила глава БАУ Наталья Дрик. Дрик подчеркнула, что новое партнерство демонстрирует интерес крупных мировых игроков криптовалютной индустрии к украинскому рынку… Подробнее ›
*Ripple: Даже если токен XRP и был ценной бумагой — подавать в суд уже поздно (06.12.2019) go
Даже если токен XRP и был ценной бумагой, инвесторы подали в суд на компанию Ripple слишком поздно. Об этом говорится в новом заявлении компании от 4 декабря. Это последний документ по текущему судебному делу инвесторов XRP против компании Ripple. Истцы утверждают, что компания продавала XRP в качестве незарегистрированной ценной бумаги розничным инвесторам… Подробнее ›
*Тим Дрейпер по-прежнему уверен, что биткоин будет стоить $250 000 в 2022 году (06.12.2019) go
В одном из своих недавних интервью венчурный капиталист Тим Дрейпер заявил, что по-прежнему уверен в росте биткоина до $250 000 в 2022 году. При этом свой «бычий» прогноз Дрейпер не связывает с тем, что в мае 2020 года должно произойти сокращение вознаграждений майнеров вдвое. Предыдущие прогнозы Дрейпера по биткоину вполне оправдали себя… Подробнее ›
*Биткоин-биржа Poloniex расширит листинг в начале 2020 года (06.12.2019) go
Криптовалютная биржа Poloniex опубликовала форму для подачи заявки на листинг. Представители площадки пообещали регулярно добавлять новые активы в начале следующего года. We’re excited to open up our listing application again! We’ll begin listing new assets regularly in early 2020🚀 Fill out this form to get your asset on our shortlisthttps://t.co/j1VwHvbasx — Poloniex Exchange (@Poloniex) December… Подробнее ›
*Разработчик EOS назвал дату запуска своей децентрализованной соцсети (06.12.2019) go
Блокчейн-стартап Block.One назвал дату запуска бета-версии социальной сети Voice, которая базируется на блокчейне EOS. Тестирование начнется 14 февраля 2020 года. По заверениям компании интерес к запуску проявили «десятки тысяч человек». When #Voice? February 14th, 2020. Join us on the Road to Beta. https://t.co/2LzxfGhNIn — Voice (@voicesocial_) December 5… Подробнее ›
*Глава BIS: Центробанки должны быть в центре криптореволюции (06.12.2019) go
Глава Банка международных расчетов (BIS) Агустин Карстенс призвал Центробанки принять и возглавить революцию в области цифровых денег. Таким образом, по его мнению, финансовые организации смогут оставаться в центре мировой платежной системы, передает Bloomberg. Специалист обратил внимание на то… Подробнее ›
1 2 3 4 5 3095  » 
Информация о децентрализованной цифровой валюте Биткойн в социальных сетях:
*ВКонтакте*Facebook *Twitter
*Купить, продать, обменять Bitcoin, Litecoin, Ethereum, QIWI, WebMoney, YandexMoney, PerfectMoney, Privat24
Free Bitcoin
*Directory of sites
*Partnership

Рейтинг@Mail.ru
Statok.net dinotop.ru