Эксперты из компании MWR InfoSecurity обнародовали информацию об уязвимости, которая дает возможность похищать деньги у пользователей, применяющих сторонние цифровые кошельки Monero.
Специалисты обнаружили уязвимость CSRF (Cross Site Request Forgery) в Monero Simplewallet. Для использования уязвимости киберпреступник должен просто заманить жертву на вредоносную веб-страницу, после чего он получает доступ к кошельку. Исследователи подчеркивают, что для использования уязвимости необходимы минимальные усилия и простейшая социальная инженерия.
В большинстве своем сторонние кошельки пользуются Simplewallet в режиме RPC, поэтому уязвимость затрагивает Minonodo, Monero GUI Client.net, Monero JS, Monero Lightwallet, Monero NodeJS, Monero QT, Monero SimpleWallet и Monero Wallet Chrome.
Эксперты утверждают, что данный перечень является неполным и уязвимых кошельков, вероятнее всего, значительно больше.
Дело в том, что Monero SimpleWallet имеет RPC-веб-сервис на localhost, порт 18082. Этот веб-сервис не запрашивает прохождение процедуры аутентификации для совершения платежей и может быть взломан с помощью CSRF-атаки. Эксперты обнародовали эксплоит для проведения такой атаки и автоматической кражи денег с кошельков посетителей вредоносной веб-страницы.
Обновление для исправления этой проблемы было представлено 18 сентября, но специалисты MWR InfoSecurity сообщают, что патч не активен по умолчанию, а для его запуска нужно добавить в код элемент --user-agent.
По словам разработчика Monero Рикардо Спаньи, данная уязвимость несет угрозу лишь для систем, в которых кошелек работает в RPC режиме, а также запущен браузер.
Таким образом, большая часть пользователей находится вне зоны риска, поскольку SimpleWallet представляет собой командную строку, и в основном с ним работают продвинутые юзеры. Как утверждает разработчик, именно это решение в большинстве своем предпочитают пользователи Monero.
Эксперт MWR InfoSecurity Генри Хоггард считает, что уязвимость все еще может нести угрозу для пользователей сторонних кошельков, обладающих графическим интерфейсом и рассчитанных на менее подготовленных людей. Если эти пользователи вовремя не осуществят обновление программного обеспечения, они могут стать жертвами киберпреступников.