SECBIT लैब्स ट्रस्ट वॉलेट के iOS ऐप में लगातार भेद्यता को उजागर करता है
Summary:
एसईसीबिट लैब्स ने ट्रस्ट वॉलेट के आईओएस ऐप में एक सुस्त भेद्यता की खोज की है, संभावित रूप से प्रभावशाली व्यक्ति जिन्होंने 5 फरवरी से 21 अगस्त, 2018 तक खाते बनाए हैं। दोष को दो परीक्षण कार्यों द्वारा अनजाने में अपने आईफोन वॉलेट सॉफ्टवेयर में शामिल किया गया था, जिससे बुरे अभिनेताओं को निजी कुंजी को समझने और संपत्ति चोरी करने में सक्षम बनाया गया था। ट्रस्ट वॉलेट ने दोष के लिए एक फिक्स की पुष्टि करने के बावजूद, एसईसीबीआईटी का कहना है कि बग अभी भी कुछ उपयोगकर्ताओं को प्रभावित कर सकता है।
ट्रस्ट वॉलेट के आईओएस एप्लिकेशन में एक सुस्त सुरक्षा दोष संभावित रूप से उपयोगकर्ताओं को प्रभावित कर सकता है, जिनमें वे भी शामिल हैं जो अब प्लेटफॉर्म का उपयोग नहीं करते हैं, जैसा कि एसईसीबीआईटी लैब्स के साइबर विशेषज्ञों द्वारा रिपोर्ट किया गया है। भेद्यता 5 फरवरी से 21 अगस्त, 2018 तक सक्रिय थी, जिससे इस विंडो के दौरान बनाए गए खाते प्रभावित हुए। कई उपयोगकर्ता बग से बेखबर रहते हैं और अभी भी समझौता किए गए वॉलेट के साथ काम कर सकते हैं।
एसईसीबीआईटी ने नोट किया कि दोष को अनजाने में दो परीक्षण कार्यों द्वारा पेश किया गया था, जिन्हें ट्रेजर लाइब्रेरी के माध्यम से ट्रस्ट वॉलेट द्वारा बुलाया गया था। इन कार्यों को गलती से आईफोन वॉलेट सॉफ़्टवेयर में शामिल किया गया है, जिससे संभावित रूप से नापाक अभिनेताओं को उपयोगकर्ताओं की निजी कुंजी को समझने और उनकी संपत्ति चोरी करने में सक्षम बनाया जा सकता है। इन स्थितियों से जुड़े खाते अभी भी उजागर हैं, एसईसीबीआईटी ने चेतावनी दी है।
SECBIT ने स्पष्ट किया कि यह भेद्यता ब्राउज़र एक्सटेंशन समस्या से असंबंधित है जिसे ट्रस्ट वॉलेट ने अप्रैल 2023 में संबोधित किया था। निष्कर्षों के जवाब में, ट्रस्ट वॉलेट ने अपने 15 फरवरी के ब्लॉग पोस्ट में पुष्टि की कि केवल कुछ मुट्ठी भर उपयोगकर्ता भेद्यता से प्रभावित थे, जिनमें से सभी को सूचित किया गया है और सुरक्षित वॉलेट में स्थानांतरित कर दिया गया है।
SECBIT ने 12 जुलाई, 2023 को हुई एक व्यापक क्रिप्टोक्यूरेंसी हैक की जांच करते हुए भेद्यता पर ठोकर खाई, जिससे 200 से अधिक डिजिटल वॉलेट प्रभावित हुए। हैक ने उन पर्स को पीड़ित किया जो या तो लंबे समय से निष्क्रिय थे या इंटरनेट कनेक्टिविटी के बिना उपकरणों पर सुरक्षित थे, जांचकर्ताओं के लिए एक चुनौती पेश की। गहन जांच के बाद, SECBIT ने Libbitcoin Explorer Bitcoin (BTC) ऐप में भेद्यता और एक बग के बीच एक संभावित सहसंबंध की पहचान की, जिसे "मिल्क सैड" के रूप में जाना जाता है, जिसे 7 अगस्त, 2023 को अविश्वास साइबर सुरक्षा टीम द्वारा खोजा गया था।
एसईसीबीआईटी के अध्ययन से पता चला है कि प्रभावित वॉलेट मुख्य रूप से जुलाई और अगस्त 2018 के बीच धन से भरे हुए थे। इसके अलावा, उन्होंने पाया कि कीवर्ड उत्पन्न करने के लिए ट्रस्ट वॉलेट द्वारा उपयोग किए जाने वाले असुरक्षित कार्य हमलावरों द्वारा आसानी से अनुमान लगाने योग्य थे। एसईसीबीआईटी ने इन अंडर-संरक्षित खातों की पहचान की और ट्रस्ट वॉलेट को अपने निष्कर्षों से अवगत कराया और इस बात पर जोर दिया कि भेद्यता को सार्वजनिक किया जाना चाहिए।
एसईसीबीआईटी ने स्वीकार किया कि अन्य वॉलेट डेवलपर्स ने इसी तरह की त्रुटियां की होंगी, यह देखते हुए कि ट्रस्ट वॉलेट का कोड स्वतंत्र रूप से उपलब्ध है। उन्होंने बताया कि ट्रेजर टीम ने 16 जुलाई, 2018 को उद्धृत कार्यों के सुरक्षित संस्करणों के साथ अपनी लाइब्रेरी को अपडेट किया। उस ने कहा, 2018 के शुरुआती हिस्से में अपने खाते बनाने वाले कुछ उपयोगकर्ता अभी भी असुरक्षित हो सकते हैं यदि उन्होंने कभी भी अपने फंड को स्थानांतरित नहीं किया है।
ट्रस्ट वॉलेट ने एक सार्वजनिक बयान में पुष्टि की कि दोष अब उनके वर्तमान ऐप में मौजूद नहीं है, जो उपयोगकर्ताओं की संपत्ति की सुरक्षा सुनिश्चित करता है। उन्होंने इस मुद्दे के बारे में अपने उपयोगकर्ताओं को दी गई अपर्याप्त जानकारी के दावों का भी खंडन किया।
पीड़ित के पतों की समीक्षा करते हुए, ट्रस्ट वॉलेट ने पाया कि उनमें से केवल एक तिहाई उल्लिखित दोष से जुड़े थे और प्रभावित 2,000 पतों में से केवल 600 इसके ऐप द्वारा उत्पन्न किए गए थे। अपने बचाव में, ट्रस्ट वॉलेट ने दावा किया कि इनमें से कुछ पते अन्य प्लेटफार्मों से आयात किए गए हो सकते हैं। उन्होंने सुरक्षा विशेषज्ञों को सुरक्षा के प्रति अपनी प्रतिबद्धता को रेखांकित करते हुए कमजोरियों की पहचान करने के लिए अपने इनाम कार्यक्रम में भाग लेने के लिए प्रोत्साहित किया।
क्लेवर वॉलेट ने 12 जुलाई, 2023 की रिपोर्ट में स्वीकार किया कि कुछ प्रभावित खातों ने इसकी सेवा का उपयोग किया था। फिर भी, यह दावा किया गया कि ये पते आयात किए गए थे और मूल रूप से क्लेवर द्वारा उत्पन्न नहीं किए गए थे।
ट्रेज़र के मुख्य प्रौद्योगिकी अधिकारी, टॉमस सुसांका ने उल्लेख किया कि विवादास्पद फ़ंक्शन का आवेदन पूरी तरह से परीक्षण उद्देश्यों के लिए था, जैसा कि इसके स्रोत कोड में स्पष्ट रूप से निर्धारित किया गया था। उन्होंने आगे ओपन-सोर्स परियोजनाओं में दुरुपयोग को रोकने की अवास्तविक उम्मीद की ओर इशारा किया।
अंत में, SECBIT ने कमजोर समय के दौरान ट्रस्ट वॉलेट के उपयोगकर्ताओं से नए वॉलेट में माइग्रेट करने और समझौता किए गए वॉलेट को छोड़ने का आग्रह किया। उन्होंने इस मुद्दे की अनभिज्ञता के कारण आगे वित्तीय नुकसान के संभावित जोखिम पर जोर दिया।
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.