请保管好你的个人比特币钱包通信软件bitxin暴露零日漏洞

Bitmessage开发团队本月早些时候在其网站上发布警告声明称，其消息服务的官方客户端PyBitmessage存在严重的零日漏洞MT比特币行情软件，已被网络犯罪分子利用。

Bitmessage是一款基于P2P通信协议的去中心化通信软件，用于向接收方发送加密消息。 就像比特币一样，Bitmessage 会为用户生成一对公钥和私钥（由 RSA 算法生成）。 公钥是用户的Bitmessage地址，私钥是可以证明用户对该地址信息的所有权的密码。 这将允许用户匿名将任何消息传输给收件人，或订阅来自发布者的消息。

乔纳森·沃伦 (Jonathan Warren) 曾表示，该软件的开发是基于对美国国家安全局 (NSA) 及其监视技术的理解。 为此，SANS研究所首席研究官Johanners Ullrich曾表示“比特信是我见过的最安全的通信系统”的态度。

根据 Bitmessage 核心开发人员 Peter Surda 的说法，由于影响 PyBitmessage 0.6.2 或更高版本（包括 Linux、Mac 和 Windows 版本）的编码缺陷，PyBitmessage 中存在一个远程代码执行漏洞。

Surda 解释说：“攻击者会通过恶意电子邮件触发该漏洞。如果你是邮件的收件人，那么你必须要小心。攻击者可能会运行一个自动化脚本来查看你的加密货币钱包，或者它可能会打开或尝试打开远程反向 shell，在这种情况下MT比特币行情软件，攻击者能够访问其他一些文件。”

根据 Surda 的说法，攻击者利用该漏洞进行远程访问的主要目的是找到存储在受感染设备上的 Electrum 比特币钱包的私钥，以窃取受害者的比特币。

Bitmessage 开发团队通过发布新的 PyBitmessage 0.6.3.2 解决了这个漏洞。 另外，由于PyBitmessage 0.6.1不受影响，开发团队也建议用户降级到该版本可以避免影响。

尽管 Bitmessage 开发团队没有透露有关该漏洞的更多细节，但 Surda 表示，如果用户怀疑他们的设备已被感染，最好也有必要更改所有密码并创建新的 Bitmessage 密钥。

目前，对发生的袭击事件的调查仍在进行中。

本文由黑客视界综合网整理，图片来源于网络； 转载请注明“转自Hacker Vision”并附上链接。