“tradeRifle”漏洞案例三——Coinw交易所移动终端可被操纵交易和获取用户隐私信息

7月5日，区块链安全公司PeckShield发现数字货币交易所Coinw的移动终端应用程序存在“tradeRifle”安全漏洞。攻击者可通过Coinw中部分功能所暴露的明文报文截获用户Token，并可通过Token进行重放攻击，创建订单任意发送交易请求，导致用户资产被窃取。PeckShield安全人员在进行攻击测试后第一时间将此漏洞报给Coinw技术团队，7⽉19⽇，Coinw技术团队回复已完成对该漏洞的紧急修补、版本升级。Coinw官网并没有对此漏洞修复做公告，出于安全考虑，我们选择延后一个月公布漏洞细节。

下面我们就来详细描述漏洞细节，首先我们展示下Coinw正常的用户登录、币币交易。如图1所示，用户在登录后服务器将返回该用户的Token作为用户身份标识，用户使用Token即可进行币币交易。

（ 图1： 正常交易流程）  

登录时Coinw使用的是双因素认证和https通讯用来保证安全性，然而当用户发起交易与服务器通讯，却改为http协议进行通讯，攻击者可以通过窃听协议报文来捕获用户交易密码和Token。 虽然又通过http 301重定向到https协议，但此时用户Token和交易密码都已泄漏，https已无意义（如图2所示）。利用捕获到的用户Token和交易密码，攻击者可以以极低的价格卖出用户数字货币来窃取用户资产。如果攻击者拥有大量受害用户，还可能会造成市场行情大幅波动。

（ 图2： 明文报文交易请求）  

通过得到的用户的Token，攻击者还可给Coinw服务器发任意请求以获取用户其他的信息，如下图3 所示，用户的真实姓名、身份证号等身份信息可被窃取。

（ 图3： 利用获取到的Token模拟用户发送身份信息）  

分析还发现该软件存在“Log敏感信息泄露”的漏洞，通过日志导出可以看到完整的通讯数据报文，从而获取用户的全部通讯数据明文信息。

 （ 图4： 使用logcat 查看Coinw明文数据通讯日志信息）

总结：迄今为止，PeckShield发布的“tradeRifle”漏洞预警已影响三个知名交易所：火币OTC、LBank以及本文所述的Coinw。值得庆幸的是三家交易所在接到 PeckShield通报后，均做出紧急响应，修复漏洞并完成升级。在此，我们再次感谢上述几个交易所对用户负责任的态度，但同时也暴露出数字货币交易所缺乏必要的产品上线安全审查流程，我们强烈呼吁交易所将此问题重视起来，也可聘请专业的第三方安全团队对产品上线流程做全面的安全评估，以保证投资者资产安全。

关于我们

PeckShield是面向全球的业内顶尖区块链安全公司，以提升区块链生态整体的安全性、隐私性及可用性为己任。商业与媒体合作（包括智能合约审计需求），请通过telegram（https://t.me/peckshield）、twitter或电子邮件（support@peckshield.com）与我们联系。