Первое, что окажется с гарантией в буфере обмена IPhone – это ключи и пароли от кошельков, биржевых аккаунтов или адреса переводов другим пользователям.
Опытные пользователи запрещают приложениям доступ к информации или ограничивают определенным набором правил. Однако тестовая версия IOS 14 позволяет разработчикам приложений удалять код сервисного сообщения запроса или предупреждения о возможностях программы, скачивать информацию из буфера обмена IPhone.
Производитель холодного кошелька Ledger ответил на претензии разработчиков ZenGo, обвиняющих приложение Ledger Live в наличие уязвимости, позволяющей допустить двойное расходование средств. Проблема касалась момента, когда злоумышленник заменял отправленную транзакции, на другую с более высокой комиссией.
Механизм RBF реализован на Bitcoin для замены «зависших» переводов в мемпуле, более высокая комиссия может стимулировать майнеров быстрее включать их в блок. В Ledger Live не отображалась отмена предыдущей транзакции, что заставляло некоторые магазины отгружать товар мошенникам без оплаты.
В Ledger напомнили, что любую транзакцию можно посмотреть через обозреватель блоков, чтобы наверняка убедиться в ее проводке, так что найденная ZenGo уязвимость – это проблем недостатка пользовательского опыта. Команда в июле выпустит обновление Ledger Live с дополнительным информированием по переводам.