Deweloper Bitcoina ujawnia lukę w Bitcoin Core

Andrew Chow ujawnił w poniedziałek lukę w oprogramowaniu Bitcoin Core – oprogramowaniu open-source, które zasila Bitcoina. Błąd, który został już naprawiony, jest znany innym deweloperom BTC i powszechnie dotyka przeglądarek internetowych. Tym razem nie wyrządził jednak żadnych szkód.

W opublikowanym w poniedziałek Tweecie, Chow powiedział, że luka występowała w Bitcoin Core 0.18 i wcześniejszych wersjach. Została jednak naprawiona w wersji 0.19. Dla przypomnienia, Bitcoin działa obecnie na wersji 0.21.0.

Disclosure of a likely unexploitable URI argument injection vulnerability present in Bitcoin Core 0.18 and earlier. This has been fixed since 0.19.https://t.co/gGhXASrOtM

— Andrew Chow (@achow101) February 1, 2021

Pomimo ostrzeżenia, Chow powiedział, że atak prawdopodobnie nie wyrządzi żadnych szkód.

With the mitigations present in modern browsers and Linux desktop environments, I do not believe that this vulnerability can actually be exploited.

However, if it could be exploited, it could lead to a RCE (i.e. malicious code being executed on the victim’s computer)

— Andrew Chow (@achow101) February 1, 2021

Na czym dokładnie polegał atak?

Atak dotyczył trzech aspektów technicznych: URI (skrót od Unified Resource Identifier) – identyfikatora używanego przez komputery do identyfikacji obiektów rzeczywistych i cyfrowych, Qt5 – darmowego programu do tworzenia interfejsów graficznych oraz sposobu, w jaki te dwa elementy są wykorzystywane na komputerze.

Chow twierdzi, że ponieważ URI injections – specyficzny termin określający naturę luki – są znanym problemem, twórcy oprogramowania (w tym przypadku twórcy Bitcoina) wiedzą jak się ich wystrzegać.

W prostych słowach programiści, aby zapobiec atakom unikają wszelkich oflagowanych informacji wysyłanych przez URI. Tym razem problem leżał jednak po stronie Qt5, oprogramowania graficznego, które nie rozpoznało żadnych wadliwych URI i mogło przepuścić niechciane argumenty (zmienne cyfrowe zawierające dane).

W teorii taka luka powoduje, że nielegalny kod wysyła do komputera fałszywe dane i instaluje złośliwą wtyczkę. To z kolei może spowodować awarię systemu użytkownika i/lub inne formy cyberprzestępczości np. kradzież danych.

Na szczęście większość przeglądarek internetowych ma już wbudowane systemy, pozwalające uniknąć takich ataków.

Był to jeden z pierwszych takich ataków na Bitcoin Core. Warto jednak powtórzyć jeszcze raz: Bitcoin nie jest zagrożony – atak był obecny w poprzednich wersjach oprogramowania i teoretycznie mógł wpłynąć na urządzenia użytkowników, a nie na sam protokół.