Podczas pracy z pieniędzmi w Internecie ważne jest, aby upewnić się, że wszystkie dane są bezpieczne, nawet jeśli mówisz o cyfrowej kryptowalucie, takiej jak Bitcoin. Na początku tego miesiąca Naked Security miał artykuł o błędzie w aplikacji Coinbase na smartfony i tablety z Androidem, co wywołało u niektórych ludzi strach.
Bryan Stern, badacz bezpieczeństwa, podał do publicznej wiadomości wiedzę na temat błędu w sposobie, w jaki aplikacja obsługuje połączenia SSL w swoim GitHub blog w dniu 27 czerwca 2014 r. Przed tym postem chodził tam iz powrotem z Coinbase, który powiedział, że wada nie jest naprawdę poważna. Stern napisał:
W przypadku złamania połączenia SSL osoba atakująca może uzyskać pełną kontrolę nad kontem użytkownika, kradnąc jego token dostępu. Atakujący może również przechwycić żądanie wysłania bitcoinów i zmienić zarówno kwotę, jak i adres docelowy.
Chociaż aplikacja na Androida od Coinbase faktycznie sprawdza TLS certyfikat prezentowany, gdy łączy się z serwerem Coinbase i upewnia się, że jest podpisany przez uznany urząd certyfikacji (CA), Stern uważa, że to nie wystarczy. Inne aplikacje finansowe korzystające z klientów HTTPS zwykle wymagają dodatkowych kroków sprawdzać krzyżowo dotychczasowy TLS certyfikaty, dodając kolejną warstwę zabezpieczeń.
Andreas Antonopoulos i inni z Bitcoin przeprowadzili niezależny audyt bezpieczeństwa i wypłacalności Coinbase, a aplikacja jest teraz dostępna dla użytkowników na całym świecie. Coinbase stara się przekroczyć granicę między bezpieczeństwem a wygodą dla użytkowników, a niektórzy uważają, że wykonują dobrą robotę, wykonując niebezpieczne zadanie.
Wszystko to prowadzi do pytania - czy wszystkie aplikacje finansowe są bezpieczne? W styczniu tego roku Ariel Sanchez z IOActive przyjrzał się 40 różnym aplikacjom bankowym na iOS. Badanie wykazało, że około 40% aplikacji łączyło się przez HTTPS bez sprawdzania poprawności certyfikatów. Jak wiecie, jest to ogromne zagrożenie bezpieczeństwa we współczesnym Internecie.
Wracając do Coinbase, nadal istnieją inne obawy niezwiązane ściśle z SSL /TLS. Jednym z największych problemów jest to, że klucze prywatne są przechowywane przez Coinbase i nie są przekazywane użytkownikowi. „Czego nauczyłem się z posiadania monet na Mtgox: Jeśli Ty i Ty sam nie posiadacie kluczy prywatnych, nie jesteście właścicielami monet”, powiedział Introshine w Internecie, zgodnie z artykułem w CryptoCoinsWiadomości.
Oto kilka wskazówek dotyczących bezpieczeństwa, o których należy pamiętać przed zainstalowaniem na urządzeniu mobilnym.
- Nie używaj aplikacji mobilnych do transakcji finansowych, chyba że wiesz, że są one całkowicie bezpieczne
- Korzystaj z chronionego komputera stacjonarnego lub laptopa z przeglądarką głównego nurtu, aby wykonywać swoje operacje bankowe
- Jeśli korzystasz z aplikacji bankowości mobilnej, upewnij się, że łączysz się z VPN, aby zwiększyć bezpieczeństwo i spokój
Postępowanie zgodnie z powyższymi radami pomoże Ci zachować bezpieczeństwo. Chociaż Coinbase i inni myślą o bezpieczeństwie, gdy wypuszczają aplikacje mobilne, ważne jest, aby upewnić się, że sam podejmujesz kroki w celu ochrony swoich danych finansowych w Internecie.