В Electrum присутствует серьезная уязвимость

В одном из самых популярных криптовалютных кошельков Electrum присутствует уязвимость, которая позволяет злоумышленникам похищать содержащиеся на нем биткоины.

Пользователь GitHub с псевдонимом "jsmad", просигнализировал о проблеме 24 ноября прошлого года. Разработчики кошелька не обратили на замечание "jsmad" никакого внимания. Мало того о данном бэкдоре сообщалось и ранее - в феврале 2016 года, исследователь из Лондонского университета Кингс, Мустафа аль-Бассам дал интервью Motherboard в котором и поведал о проблеме в Electrum. Мустафа сообщил, что любой вредоносный сайт, а следовательно и его оператор, может контролировать и похищать хранящиеся на кошельке биткойны при условии если он не защищен паролем.

Как сообщили разработчики кошелька, проблема была полностью устранена с выходом последнего обновления Electrum 3.0.4.

С данным утверждением категорически не согласен Мустафа аль-Бассам, который утверждает, что проблема по сей день актуальна, так как версии Electrum для Windows и Linux не оснащены встроенным механизмом обновления.

Пользователь Твиттер "h43z" выложил короткий видеоролик (PoC), в котором продемонстрировал атаку на свой собственный криптокошелек Electrum .

Исследователи сообщают о постоянных жалобах пользователей Electrum (особенно на Linux), которые жалуются на некорректную работу криптокошелька.