Όταν εργάζεστε με χρήματα στο διαδίκτυο, είναι σημαντικό να βεβαιωθείτε ότι όλα τα δεδομένα σας είναι ασφαλή, ακόμη και όταν μιλάτε για ψηφιακό κρυπτογράφηση όπως το Bitcoin. Νωρίτερα αυτό το μήνα, το Naked Security είχε ένα άρθρο για ένα σφάλμα στην εφαρμογή Coinbase για smartphone και tablet Android που προκάλεσε λίγο φόβο σε ορισμένα άτομα.
Ο Bryan Stern, ερευνητής ασφαλείας, δημοσιοποίησε γνώσεις σχετικά με το ελάττωμα στον τρόπο με τον οποίο η εφαρμογή χειρίζεται τις συνδέσεις SSL στο δικό του GitHub blog στις 27 Ιουνίου 2014. Πριν από αυτήν την ανάρτηση, είχε γυρίσει πίσω με τον Coinbase, ο οποίος είπε ότι το ελάττωμα δεν ήταν πραγματικά σοβαρό. Ο Στερν έγραψε:
Με μια συμβιβασμένη σύνδεση SSL, ένας εισβολέας θα μπορούσε να αποκτήσει τον πλήρη έλεγχο του λογαριασμού ενός χρήστη κλέβοντας το διακριτικό πρόσβασης. Ένας εισβολέας θα μπορούσε επίσης να υποκλέψει ένα αίτημα για αποστολή bitcoin και να αλλάξει τόσο το ποσό όσο και τη διεύθυνση προορισμού.
Ενώ η εφαρμογή Android από το Coinbase ελέγχει στην πραγματικότητα TLS πιστοποιητικό που παρουσιάζεται όταν συνδέεται με διακομιστή Coinbase και βεβαιώνεται ότι έχει υπογραφεί από αναγνωρισμένη αρχή έκδοσης πιστοποιητικών (CA), η Stern δεν πιστεύει ότι είναι αρκετή. Άλλες χρηματοοικονομικές εφαρμογές που χρησιμοποιούν πελάτες HTTPS συνήθως λαμβάνουν επιπλέον μέτρα διασταυρώνω ο TLS πιστοποιητικά, προσθέτοντας ένα άλλο επίπεδο ασφάλειας.
Ο Ανδρέας Αντωνόπουλος και άλλοι από το Bitcoin έχουν ελέγξει ανεξάρτητα την ασφάλεια και τη φερεγγυότητα της Coinbase και η εφαρμογή είναι πλέον διαθέσιμη σε χρήστες σε όλο τον κόσμο. Η Coinbase προσπαθεί να ακολουθήσει τη γραμμή μεταξύ ασφάλειας και ευκολίας για τους χρήστες και ορισμένοι πιστεύουν ότι κάνουν μια καλή δουλειά με την επικίνδυνη εργασία.
Όλα αυτά οδηγούν σε ερώτηση - είναι όλες οι χρηματοοικονομικές εφαρμογές ασφαλείς; Τον Ιανουάριο του τρέχοντος έτους, ο Ariel Sanchez από την IOActive εξέτασε 40 διαφορετικές εφαρμογές τραπεζικής iOS. Η έρευνα διαπίστωσε ότι περίπου το 40% των εφαρμογών συνδέθηκαν μέσω HTTPS χωρίς επικύρωση καθόλου των πιστοποιητικών. Όπως γνωρίζετε, πρόκειται για τεράστιο κίνδυνο ασφάλειας στο σύγχρονο Διαδίκτυο.
Και επιστρέφοντας στο Coinbase, υπάρχουν ακόμα άλλες ανησυχίες που δεν σχετίζονται αυστηρά με το SSL /TLS. Ένα από τα μεγαλύτερα ζητήματα είναι ότι τα ιδιωτικά κλειδιά διατηρούνται από το Coinbase και δεν δίδονται στον χρήστη. «Τι έχω μάθει από την κατοχή νομισμάτων στο Mtgox: Εάν εσείς, και εσείς, δεν έχετε τα ιδιωτικά κλειδιά, δεν έχετε τα νομίσματα», δήλωσε η Introshine online σύμφωνα με ένα άρθρο στο CryptoCoinsNews.
Ακολουθούν ορισμένες συμβουλές ασφαλείας που πρέπει να έχετε υπόψη σας πριν από την εγκατάσταση μιας στην κινητή συσκευή σας.
- Μην χρησιμοποιείτε εφαρμογές για κινητά για οικονομικές συναλλαγές, εκτός εάν γνωρίζετε ότι είναι απολύτως ασφαλείς
- Χρησιμοποιήστε έναν προστατευμένο επιτραπέζιο υπολογιστή ή φορητό υπολογιστή με ένα κύριο πρόγραμμα περιήγησης για να κάνετε τις τραπεζικές σας συναλλαγές
- Εάν χρησιμοποιείτε εφαρμογές κινητής τραπεζικής, βεβαιωθείτε ότι έχετε συνδεθεί με ένα VPN για πρόσθετη ασφάλεια και σιγουριά
Ακολουθώντας τις παραπάνω συμβουλές θα σας βοηθήσει να διατηρήσετε ασφαλή. Ενώ η Coinbase και άλλοι έχουν ασφάλεια στο μυαλό τους όταν κυκλοφορούν εφαρμογές για κινητά, είναι σημαντικό να βεβαιωθείτε ότι έχετε λάβει μέτρα για να προστατεύσετε τα οικονομικά σας δεδομένα στο διαδίκτυο.
