更新:在2018/07/10,最新版本的LBank移动应用已经解决了报告的问题!感谢LBank团队负责和及时的升级!
在2018-6-29,北京时间的上午1:00,PeckShield的研究人员再次确认了LBank移动应用中的traderion漏洞——这是排名前十的加密货币交易之一。 具体来说,攻击者可以提取用户当前登录会话的session ,此token可通过重放创建订单数据包来发布任意的交易,更糟糕的是,尽管撤回数字资产,LBank手机应用程序(Android和iOS版本)都容易发生中间人(MITM)攻击,这可能导致严重的财务损失。在这个问题得到确认的时候,我们立即通知了LBank,并且验证了POC。
在北京时间2018/7/10下午11:32:00 ,LBank在其官方网站上宣布,他们的安全响应团队已经将补丁应用于“traderibug”漏洞报告,该报告与2018/6/29日发布的,LBank在声明中还声称,他们的用户的加密资产没有受到这个漏洞的影响。
现在,是时候检查细节了。现在,我们首先向您展示普通用户如何登录,发布交易以及提取数字资产。
图1:正常的用户登录会话,然后是交易和取款事务
我们在图1中展示了LBank app应用中使用的2FA机制,以提高安全性。 然而,由于整个登录握手都是通过http完成的,所以从LBank服务器发回的token 可以被窃听。 因此,只要受害者仍然登录,攻击者就可以通过简单地将数据包重放到LBank服务器来使用此token发布新交易。图2演示了如何从移动应用程序和服务器之间的明文通信中提取图2:提取令牌 。
图2:提取Token
通过使用这个Token ,攻击者可以与自己进行低价交易,窃取受害者的数字资产。 此外,如果攻击者危及许多LBank用户,某些加密货币的价格将受到极大影响。 另一方面, 提款过程很容易受到MITM的影响,如图3所示。
图3:在提款过程中MITM攻击
攻击者可以操纵取款地址或LBank服务器发送给受害者的金额。 图4证明了明文提取请求可以简单地被截断,使攻击者能够从LBank用户那里窃取任意数量的数字资产。
图4:明文提款请求
我们再次高兴地注意到 ,根据我们的漏洞报告,LBank团队迅速解决了问题。我们非常赞赏他们的反应迅速。从现在开始,LBank已经升级了移动应用,这个问题已经解决了,我们选择在这个博客中发布相关的技术细节。网络安全对任何加密货币交换都至关重要,PeckShield随时为您提供帮助!
关于我们
PeckShield公司是一家领先的区块链安全公司,其目标是提升当前区块链生态系统的安全性、隐私性和可用性。如有任何商业或媒体咨询,请通过Telegram, Twitter, or Email. 联系。
参考
[1] LBank: Announcement about Fixing the tradeRifle Vulnerabilities Identified in LBank Mobile Apps, July 10, 2018
审核人:yiwang 编辑:边边
文章原文链接:https://www.anquanke.com/post/id/151781