* Почему не стоит пользоваться браузерными кошельками — объясняет разработчик Bitcoin Core (08.11.2019) go

Автор статьи — Джеймсон Лопп, технический директор биткоин-стартапа Casa и один из разработчиков Bitcoin Core. Оригинал опубликован в блоге Casa.

Когда мы говорим о безопасности биткоин-кошельков, основное внимание уделяется тому, чтобы закрытые ключи не попадали в чужие руки. Считается, что если злоумышленник получит доступ к закрытым ключам, — игра окончена.

Однако безопасность кошелька заключается не только в ограничении доступа к закрытым ключам. Мы также должны следить за получением и выводом средств с кошелька, так как эти операции могут быть перехвачены злоумышленником с целью перенаправления BTC на свой адрес.

Хотя никакое программное обеспечение кошелька не может защитить вас от всех возможных проблем, мы в Casa мы пришли к выводу о том, что браузерные кошельки являются наиболее уязвимыми по ряду причин.

Фишинг и вредоносные программы

Фишинг — это практика обмана пользователя через перенаправление на сайт, который имитирует настоящий, с целью получения учетных данных пользователя или загрузки измененной версии кошелька.

Например, войдя на условный сайт C0inbase, злоумышленник может получить имя пользователя, пароль и даже 2FA для доступа к аккаунту Coinbase. Мошенники уже годами манипулируют рекламой в поисковых системах, чтобы обманом заставить пользователей зайти на вредоносный сайт.

Хотя фишинговые атаки на веб-кошельки являются обычной практикой, они также имели место в отношении десктопных кошельков, которые подключаются к удаленным серверам. Так, пользователи популярного биткоин-кошелька Electrum были атакованы ложным уведомлением об обновлении с вредоносной версией кошелька.

Даже пользователи Trezor, чьи закрытые ключи хранятся в защищенном виде на отдельном устройстве, оказались уязвимы через веб-кошелек Trezor — внимательные пользователи могли заметить, что SSL-сертификат не соответствует домену. Также часто всплывают сайты-самозванцы Trezor — пользователи, которые случайно наберут неверный URL-адрес, могут быть перенаправлены на вредоносный сайт, который выглядит точно так же, как веб-кошелек Trezor.

Злоумышленникам хорошо известно, что они не могут удаленно извлечь закрытые ключи из отдельных аппаратных устройств, поэтому они используют слабые места в программном обеспечении, которое используется для взаимодействия с устройством. На сегодняшний день эти атаки довольно просты и просят пользователя ввести сид-фразу, что само по себе должно вызвать подозрения, но многие пользователи всё ещё на это попадаются.

Программное обеспечение десктопных кошельков также уязвимо для вредоносных программ, которые могут угрожать операциям ввода/вывода. Это связано с тем, что десктопные операционные системы имеют много векторов атаки, поскольку используются для самых разных задач.

Мы знаем, что злоумышленники даже получали контроль над популярными библиотеками JavaScript, которые, как известно, используются в ПО многих биткоин-кошельков. Это особенно сложная проблема для многих браузерных кошельков, поскольку многие из них разработаны на JavaScript.

Существует причина, по которой золотым стандартом безопасности биткоин-кошелька считается использование специального аппаратного устройства, такого как Ledger/ Trezor/Coldcard/ и т.д. Такое устройство защищает закрытые ключи от злоумышленников и запускает программное обеспечение, которое обладает высокой устойчивостью к взлому и обеспечивает целостность сгенерированных адресов, отображаемых на экране устройства.

Любое программное обеспечение, работающее на машине общего назначения, будет более легко атакуемым, хотя мобильные операционные системы, как правило, более устойчивы к взлому и лучше блокируют приложения через песочницу.

Расширения браузера

В то время как десктопные или мобильные кошельки могут использоваться при обеспечении надлежащего уровня безопасности операционной системы, любые веб-кошельки обладают очень слабой защитой.

И провайдеры этих кошельков могут сделать не так уж много, потому что проблемы безопасности не ограничиваются уязвимостью их собственной инфраструктуры и во многих случаях являются проблемами конечного пользователя. Для защиты от вредоносных программ браузерный кошелек следует использовать только на отдельном компьютере, но большинство пользователей будут пренебрегать этим, подвергая себя риску взлома.

Одна из особенно тревожных проблем с браузерными кошельками заключается в том, что расширения браузера могут легко получить полный контроль над всеми данными, доступ к которым осуществляется через браузер. В конце 2018 года экспертами «Лаборатории Касперского» был обнаружен троян, который специально предназначался для браузерных кошельков и устанавливал вредоносные расширения.

Функция findAndReplaceWalletAddresses выполняет поиск кошельков для биткоина и эфира и заменяет их адресами кошельков злоумышленника. В частности, эта функция работает практически на всех страницах, кроме тех, которые расположены в доменах Google и Yandex, а также на популярных доменах, таких как instagram.com. и ok.ru. Изображения QR-кодов с адресами кошельков также заменяются.

Мы подозреваем, что проблемы безопасности браузера являются одной из причин, по которой компания Ledger прекратила поддержку своих расширений для Chrome и вместо этого требует от пользователей установки своего десктопного приложения Ledger Live.

Программное обеспечение с открытым исходным кодом, как правило, обеспечивает большую надежность, но в мобильных приложениях возникают свои сложности. В настоящее время мы не знаем, как доказать, что программное обеспечение, установленное через iOS App Store или Google Play, является тем же программным обеспечением, которое доступно в репозитории с открытым кодом.

Платежный протокол, который включает в себя криптографически заверенный адрес получателя адрес получателя, также может улучшить целостность платежей, устраняя атаку «посредника». Предложение по улучшению биткоина (BIP) 75 делает это — оно было предложен еще в 2016 году, но так и не получило широкого распространения из-за возможных проблем с конфиденциальностью пользователей. Сегодня рекомендуется при отправке крупных биктоин-транзакций подтверждать адрес по другим каналам (посредством видео/аудио), чтобы убедиться в его правильности.

Не доверяйте своему браузеру!


Источник: https://coinspot.io/beginners/pochemu-ne-stoit-polzovatsya-brauzernymi-koshelkami-obyasnyaet-razrabotchik-bitcoin-core/

*Биткойн бесплатно получить

*Купить, продать, обменять Биткойн

Android-приложение Bitcoin Neratan – графики курса BTC/USD с объемами позитивного/негативного новостного фона.
Теги: Новичкам yandex биткоин-кошельки Джеймсон Лопп
Поделиться:
[vk] [fb] [tw] [ok] [mr] [lj]
Рубрики Обменный курс Биткойн Менеджер кранов
Новости биткойн и блокчейн-технологий
*Прорыв недели: Курс эфира подскочил до двухлетнего максимума (15.08.2020) go
Крупнейший альткоин эфир (ETH) за последние сутки продемонстрировал самые лучшие результаты из первой десятки цифровых валют. Монета подорожала почти на 10% и достигла двухлетнего максимума. В ночь на субботу, 15 августа, курс ETH вырос до $443. Капитализация альткоина сейчас приближается к $50 млрд… Подробнее ›
*Виталик Бутерин заработал на доходном фермерстве «несколько процентов» (14.08.2020) go
Сооснователь Ethereum Виталик Бутерин признал, что доходное фермерство его не заинтересовало. I honestly have not done *any* yield farming at all. I put a few coins into uniswap a long time ago and took them out after earning a few percent on fees but that's pretty much it.— vitalik.eth (@VitalikButerin) August 14, 2020 «Если честно, я совсем не занимался доходным фермерством… Подробнее ›
*Биржа BitMEX вводит обязательную верификацию для клиентов (14.08.2020) go
В компании объяснили новые правила повышением фактической безопасности пользователей и необходимостью соблюдения международных стандартов регулирования. 28 августа биржа криптодеривативов BitMEX введет принудительную верификацию клиентских аккаунтов. Пройти проверку будет необходимо в течение следующих шести месяцев… Подробнее ›
*Объем открытых позиций в Ethereum-фьючерсах достиг рекордных $1,5 млрд (14.08.2020) go
Показатель открытого интереса (OI) по фьючерсам на Ethereum установил новый исторический максимум на уровне в $1,5 млрд, согласно данным портала skew. За последние полгода темпы прироста OI оказались вдвое выше аналогичного показателя по биткоин-фьючерсам. Аналитик The Block Ларри Чермак обратил внимание… Подробнее ›
*Компания Marathon заключила контракт c Bitmain на покупку 10 500 Antminer S19 (14.08.2020) go
Майнинговая компания Marathon Patent Group заключила контракт на $23 млн c Bitmain, китайским производителем оборудования для майнинга биткоина. Marathon заказала у Bitmain 10 500 Antminer S19. Об этом сообщает Coindesk. С новым заказом Marathon увеличит свои майнинговые мощности с 3020 единиц до 13 520. В прошлом месяце Marathon приобрела 1360 майнеров ― 660 S-19 и… Подробнее ›
*Ebang открыла дочернюю компанию в Сингапуре для запуска биткоин-биржи (14.08.2020) go
Производитель ASIC-майнеров Ebang International зарегистрировал в Сингапуре дочернюю компанию в рамках подготовки к запуску криптовалютной биржи. Согласно пресс-релизу, CEO Ebang Дун Ху заявил, что в качестве следующего шага фирма обратится в соответствующие органы за одобрением и лицензией на управление биржей… Подробнее ›
*По следам интернет-шатдауна в Беларуси: как обойти блокировки и когда это сделать невозможно (14.08.2020) go
На фоне протестов, связанных с выборами президента Беларуси, жители страны на несколько дней оказались отрезаны от интернета. Власти списали все на DDoS-атаки и вмешательство «из-за границы», однако эксперты уверены, что "рубильник" опустили именно государственные провайдеры - "Белтелеком" и НЦОТ… Подробнее ›
*Трейдер рассказал, за какими ценовыми уровнями биткоина стоит наблюдать (14.08.2020) go
О текущей ситуации на рынке рассказывает практикующий трейдер и основатель проекта Crypto Mentors Никита Семов. Рынок имеет свойство повторять формации. Складывается ощущение, что формирующийся сейчас боковик крайне похож на майский, но имеет меньшую волатильность и будет короче… Подробнее ›
*На фоне регистрации биржи в Сингапуре акции Ebang подорожали более чем на 30% (14.08.2020) go
Компания подчеркивает, что зарегистрированному в Сингапуре дочернему предприятию еще нужно получить одобрение от местных регулирующих органов. Инвесторам советовали «чрезмерно не рассчитывать» на полученную информацию. Подробнее ›
*Брэд Гарлингхаус ответил на скепсис Натаниэля Поппера и FT по поводу XRP (14.08.2020) go
Глава Ripple Брэд Гарлингхаус выступил с критикой статьи в Financial Times и колумниста The New York Times Натаниэля Поппера. Журналисты усомнились в потенциале разработанной стартапом платформы трансграничных переводов с использованием токена XRP. 1/ My fav skeptics are active today! (@FT @nathanielpopper) Ripple has absolutely no plans to ‘reset’ our strategy… Подробнее ›
1 2 3 4 5 3990  » 
Информация о децентрализованной цифровой валюте Биткойн в социальных сетях:
*ВКонтакте*Facebook *Twitter
*Купить, продать, обменять Bitcoin, Litecoin, Ethereum, QIWI, WebMoney, YandexMoney, PerfectMoney, Privat24
Free Bitcoin
*Directory of sites
*Partnership

Рейтинг@Mail.ru
Statok.net