Topic: Кошельки для Bitcoin (октябрь 2019) - page 2. (Read 3931 times)

Точнее, об уязвимости в имплементации QR, выбранной в Злектрум.

Eric Michaud является CEO Unciphered.

Так как у вас плохо с пониманием (на слух) того, что он сказал в своей презентации, пришлось потратить несколько минут чтобы на их сайте (https://www.unciphered.com/kairos) найти ссылку на странице гитхаба, где говорится об уязвимости в QR https://github.com/spesmilo/electrum/security/advisories/GHSA-4fh4-hx35-r355

Может это вам поможет.


А ещё лучше на мультисиг кошельки с подписантами на основе аппаратников  

Да, давайте пугать пользователей винды всякой малварью, может одумаются и начнут переходить на более безопасную операционку. Вот здесь написано про другой зловред, там список уязвимого софта гораздо больше: https://www.resecurity.com/blog/article/new-version-of-medusa-stealer-released-in-dark-web

Считаю нужным обратить внимание пользователей Electrum на уязвимость этого кошелька к Phemedrone Stealer


Под угрозой малвари, которая научилась обходить Microsoft Windows Defender SmartScreen, находятся пользователи Windows.

Поэтому не кликайте на что попало.

Обратил, к тому же ваша ссылка на видео там с привязкой по времени. Именно про Электрум он говорил почти ровно пять минут. Точно можете дать время, с какой секунды по какую слушать про уязвимость в QR?

Ну с аглийским на слух я уж точно не могу помочь.

Он минут десять рассказывает об уязвимости использованной QR библиотеки и разработанном ими QR эксплойте. Слушать нужно начиная с 18:00 минуты. Я кстати указывал на это в той ссылке в общем разделе, но вы видимо не обратили на неё внимание. https://bitcointalksearch.org/topic/m.63228785

Я внимательно (насколько мог, с английским у меня скорее плохо, чем хорошо) послушал, ничего про сторонние библиотеки не услышал (если хотите, дайте точное время в ролике, где это, послушаю еще раз), тем более нигде он не говорил про то, что
Уязвимость позволяла у пользователя Windows (пользователей линукса/мака это не касается), который воспользовался URI-ссылкой мерчанта для оплаты товара/услуги (этим далеко не все пользуются) угнать логин и хеш системного пароля, и в случае успешного брутфорса этого пароля (что далеко не гарантировано) получить файл кошелька, который у нормального пользователя должен быть закрыт хорошим невзламываемым паролем.  Да при чем тут QR-библиотека? Модифицированную ссылку на оплату фальшивый продавец мог и текстом передать. Там просто ошибка разрабов.
Почему вы так решили? Я не жил в полной уверенности ни в Электрум, ни в Bitcoin Core, у обоих раньше были уязвимости и поопасней этой. Вполне допускаю, что и сейчас там есть уязвимости, о которых нам еще предстоит узнать. Это только в Sparrow дырок быть не может.
Для этого они должны были:
1. Использовать горячий кошелек
2. Под Windows
3. Оплачивать по URI-ссылке
4. Иметь слабый пароль в винде.
5. Кошелек должен быть тоже закрыт плохим паролем (или не иметь пароля вовсе).
Честно говоря, сочетание 1, 2 и 5 пунктов уже само по себе выглядит стрёмно, независимо от названия программы кошелька. Когда у такого юзера уводят монеты, я ему даже не сочувствую.

Ничего я не приукрашивал, зачем оно мне нужно, я  только транслировал то, что говорил Eric Michaud  в своей видео презентации. Нужно просто внимательно слушать ( в том числе и о сторонней библиотеке  qrcode), а не смотреть, . Релиз 4.2.2  пофиксил кошелёк так, чтобы сделать невозможным запрос файла через QR код, а 4.3.4.  полностью заменил библиотеку



Видете как оно обернулось. Вы жили в полной уверенности в Электрум,  а оказалось, что до середины 2022 года он был дырявым.

Те кто в работе с Электрум   вовсю использовали  QR коды вполне могли нарваться на эксплойт и потерять свои средства.

Согласитесь, вы тут слегка приукрасили? Мягко говоря.

а оказывается без них не обойтись.