请捂好你的个人比特币钱包 通信软件比特信曝零日漏洞

“用指尖改变世界”

比特信(Bitmessage)的开发团队于本月早些时候在其网站上发布一则警告声明,称其消息服务官方客户端PyBitmessage存在一个关键的零日漏洞,并已经遭到了网络犯罪分子的利用。

Bitmessage是一个去中心化通信软件,基于P2P通信协议,用于将经加密后消息发送给接收人。就像比特币一样,Bitmessage会为用户生成一对公钥和私钥(由RSA算法生成),公钥就是用户的Bitmessage地址,私钥就是该能证明用户对该地址上信息所有权的密码。这将允许用户在匿名的情况下传输任何信息给接收人,或者从某个发布者那里订阅信息。

Jonathan Warren曾表示,开发这款软件建立在对美国国家安全局及其监控技术有所了解的基础上。为此,美国系统网络安全协会(SANS Institute)的首席研究官Johanners Ullrich曾表达过他的态度“比特信是我所见过的最安全的通讯系统”。

据Bitmessage核心开发人员Peter Surda称,由于编码缺陷,PyBitmessage存在一个远程代码执行漏洞,会影响到PyBitmessage 0.6.2或更高版本(包括Linux、Mac和Windows版本)。

Surda解释说:“攻击者会通过恶意电子邮件来触发漏洞,如果你是消息接受人,那么你要小心了。攻击者可能会运行一个自动化脚本来查看你的数字货币钱包,也可能会打开或试图打开远程反向shell,在这种情况下,攻击者能够访问其他一些文件。

Surda认为,利用此漏洞进行远程访问的攻击者的主要目的是寻找存储在受感染设备上的Electrum比特币钱包私钥,以窃取受害者的比特币。

Bitmessage开发团队已经通过发布新的PyBitmessage 0.6.3.2 来解决这个漏洞。另外,由于PyBitmessage 0.6.1也不受影响,因此开发团队也建议用户可以通过降级到这个版本来免受影响。

尽管Bitmessage开发团队并没有透露关于该漏洞的更多细节,但Surda表示,如果用户怀疑自己的设备已经受到感染,更改所有密码并创建新的Bitmessage密钥会是很好且必要的选择。

目前,针对已发生的攻击事件的调查仍在进行中。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180227B08TP000?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券