Andrew Chow ujawnił w poniedziałek lukę w oprogramowaniu Bitcoin Core - oprogramowaniu open-source, które zasila Bitcoina. Błąd, który został już naprawiony, jest znany innym deweloperom BTC i powszechnie dotyka przeglądarek internetowych. Tym razem nie wyrządził jednak żadnych szkód.
W opublikowanym w poniedziałek Tweecie, Chow powiedział, że luka występowała w Bitcoin Core 0.18 i wcześniejszych wersjach. Została jednak naprawiona w wersji 0.19. Dla przypomnienia, Bitcoin działa obecnie na wersji 0.21.0.
Disclosure of a likely unexploitable URI argument injection vulnerability present in Bitcoin Core 0.18 and earlier. This has been fixed since 0.19.//t.co/gGhXASrOtM
Pomimo ostrzeżenia, Chow powiedział, że atak prawdopodobnie nie wyrządzi żadnych szkód.
With the mitigations present in modern browsers and Linux desktop environments, I do not believe that this vulnerability can actually be exploited.
However, if it could be exploited, it could lead to a RCE (i.e. malicious code being executed on the victim's computer)
Atak dotyczył trzech aspektów technicznych: URI (skrót od Unified Resource Identifier) - identyfikatora używanego przez komputery do identyfikacji obiektów rzeczywistych i cyfrowych, Qt5 - darmowego programu do tworzenia interfejsów graficznych oraz sposobu, w jaki te dwa elementy są wykorzystywane na komputerze.
Chow twierdzi, że ponieważ URI injections - specyficzny termin określający naturę luki - są znanym problemem, twórcy oprogramowania (w tym przypadku twórcy Bitcoina) wiedzą jak się ich wystrzegać.
W prostych słowach programiści, aby zapobiec atakom unikają wszelkich oflagowanych informacji wysyłanych przez URI. Tym razem problem leżał jednak po stronie Qt5, oprogramowania graficznego, które nie rozpoznało żadnych wadliwych URI i mogło przepuścić niechciane argumenty (zmienne cyfrowe zawierające dane).
W teorii taka luka powoduje, że nielegalny kod wysyła do komputera fałszywe dane i instaluje złośliwą wtyczkę. To z kolei może spowodować awarię systemu użytkownika i/lub inne formy cyberprzestępczości np. kradzież danych.
Na szczęście większość przeglądarek internetowych ma już wbudowane systemy, pozwalające uniknąć takich ataków.
Był to jeden z pierwszych takich ataków na Bitcoin Core. Warto jednak powtórzyć jeszcze raz: Bitcoin nie jest zagrożony - atak był obecny w poprzednich wersjach oprogramowania i teoretycznie mógł wpłynąć na urządzenia użytkowników, a nie na sam protokół.
Komentarze