Coinhouse erhält erste Crypto-Lizenz von der französischen Aufsichtsbehörde

Das Krypto-Handelsunternehmen Coinhouse ist das erste Krypto-Unternehmen, das bei Frankreichs führender Finanzaufsichtsbehörde, der Financial Markets Authority (AMF), registriert ist.

Die Registrierung bedeutet, dass Coinhouse nun die Möglichkeit hat, Bankdienstleistungen in Frankreich zu erhalten, was dem Unternehmen günstigere Dienstleistungen bieten könnte als die deutsche Bank, mit der es derzeit zusammenarbeitet.

„Es ist eine Anerkennung der AMF, dass Sie ein ernsthafter Schauspieler sind und strenge [Know-your-Customer] -Richtlinien einhalten“, sagte Coinhouse-Sprecher Julien Moretto gegenüber CoinDesk.

Um eine Registrierung zu erhalten, musste Coinhouse nachweisen, dass es in der Lage ist, Vermögenswerte einzufrieren und im Falle eines nachgewiesenen Betrugs Mittel zur Verfügung zu stellen. Außerdem musste ein Compliance-Controller eingestellt werden, um verdächtige finanzielle Aktivitäten zu erkennen und zu beweisen, dass Blockchain-Analysetools wie Scorechain verwendet werden können.

Das Unternehmen erhöht jetzt das Eigenkapital und integriert Risikowarnungen, Bitcoin Trader Haftungsausschlüsse und andere rechtliche Dokumente

Aufgrund seiner Gespräche mit dem AMF erwartet die Regulierungsbehörde, dass die Erteilung von Bitcoin Trader Lizenzen bis September 2020 beginnen wird, fügte Moretto hinzu.

„Die Registrierung wird in Kürze obligatorisch sein, um in Frankreich Kauf- / Verkaufs- und Verwahrungsaktivitäten für Kryptowährung durchzuführen, aber die Lizenz wird für das Markenimage wichtig sein“, sagte Sandrine Lebeau, Direktorin für Compliance und Risiko bei Coinhouse. „Die Lizenz gibt uns das Recht, Werbung für unsere Dienstleistungen zu schalten.“

In Frankreich sind die einzigen Unternehmen, die sich aus Gründen der Geldwäschebekämpfung und der Terrorismusbekämpfung bei der AMF registrieren müssen, Unternehmen, die sich mit Fiat-to-Crypto-Diensten oder Crypto-to-Fiat-Diensten befassen. Die Anforderungen stammen aus Richtlinien, die auf dem französischen PACTE-Gesetz basieren, einem der ersten Krypto-Gesetzespakete, die im Mai 2019 in Europa verabschiedet wurden.

„Ich denke, wir haben die Sicherheit und das Vertrauen in die Zusammenarbeit mit der Aufsichtsbehörde verbessert“, sagte Lebeau. „Ich weiß nicht, ob die Compliance wirklich verbraucherfreundlich ist, aber sie verbessert mit Sicherheit die Sicherheit der Fonds, was eine unserer obersten Prioritäten ist.“

Die Sicherung von Bankdienstleistungen sei das „Haupthindernis“ für die schnelle Expansion des französischen Kryptosektors gewesen, sagte Emilien Bernard-Alzias, ein in Paris ansässiger Partner der Anwaltskanzlei Simmons & Simmons.

„Das PACTE-Gesetz sollte dies beheben, indem französische Banken gezwungen werden, Kryptofirmen grundlegende Bankdienstleistungen anzubieten“, sagte er.

Bitcoin

Eine Premiere

Während das Gesetz seit November 2019 in Kraft ist, haben nur ein ICO und eine Kryptofirma – Coinhouse – diesen Status bei der AMF erreicht, sagte Bernard-Alzias. Darüber hinaus gilt das Gesetz nur für grundlegende Einzahlungs- oder Zahlungskontodienste, was bedeutet, dass französische Banken Kryptofirmen weiterhin eine vollständige Palette von Diensten verweigern können.

„Nach meinem besten Wissen diskutieren mindestens fünf andere Krypto-Spieler, darunter auch Nicht-Franzosen, mit AMF, um die Registrierungsbestimmungen zu erhalten“, sagte Hubert de Vauplane, Partner der Anwaltskanzlei Kramer Levin Naftalis & Frankel.

Neben billigeren Bankgeschäften erwartet Coinhouse auch, größere Hedge-Fonds und Family Offices als Kunden gewinnen zu können, sagte Moretto. Die Handelsfirma möchte diese Kunden ermutigen, „ein wenig Krypto in [ihr] Portfoliomanagement zu stecken“, sagte er.

Wenn Banken Interesse an Krypto-Verwahrung zeigen, könnte Coinhouse diesen Banken auch Krypto-Verwahrungstechnologie anbieten.

Coinhouse hat auch einige DeFi-Dienste wie das Abstecken entwickelt, für die Krypto-Verwahrung erforderlich ist. Mit der Registrierung werden nun Verwahrungsdienste für Kunden angeboten, anstatt dass Kunden Krypto in ihren persönlichen Geldbörsen tragen.

Coinhouse plant außerdem die Entwicklung einer an Euro gebundenen Stallmünze, mit der Kunden ihre Konten vorfinanzieren können, um Krypto schneller kaufen zu können, sagte Moretto.

Zusätzlich zu diesen Nachrichtenprodukten erwartet Moretto aufgrund der Registrierung und der anschließenden Lizenz einen Anstieg der Kundennachfrage im gesamten Unternehmen.

„Jetzt können wir sagen, dass wir von den Finanzbehörden registriert und anerkannt sind“, sagte Moretto.

Bugs, die Websites, die Mac- und iPhone-Kameras kapern

Bugs, die Websites, die Mac- und iPhone-Kameras kapern lassen, erhalten ein Kopfgeld von 75.000 Dollar

Im Folgenden wird gezeigt, wie ein Forscher strenge Beschränkungen umgangen hat, die Apple für den Zugriff auf Webkameras vorsieht.

Ein Sicherheitsfehler, der es böswilligen Hackern ermöglichte, auf die Kameras von Macs, iPhones und iPads zuzugreifen, hat dem Forscher, der ihn entdeckt hat, ein Kopfgeld von 75.000 Dollar eingebracht.

 Zugriff von Anwendungen von Drittanbietern Bitcoin Revolution

In hier und hier veröffentlichten Beiträgen sagte der Forscher Ryan Pickren, er habe sieben Schwachstellen in Safari und seiner Webkit-Browser-Engine entdeckt, die es böswilligen Websites ermöglichen, die Kameras von Macs, iPhones und iPads einzuschalten, wenn sie miteinander verkettet werden. Pickren berichtete privat über die Fehler, und Apple hat seitdem die Schwachstellen behoben und dem Forscher 75.000 Dollar als Teil des Bug-Bounty-Programms des Unternehmens gezahlt. Apple schränkt den Zugriff von Anwendungen von Drittanbietern Bitcoin Revolution auf Gerätekameras streng ein. Für Apple-Anwendungen sind die Einschränkungen nicht ganz so streng. Selbst dann verlangt Safari von den Benutzern, dass sie explizit die Websites auflisten, auf die die Kameras zugreifen dürfen. Und darüber hinaus können Kameras nur dann auf diese Websites zugreifen, wenn sie in einem sicheren Kontext bereitgestellt werden, d. h. wenn der Browser sich sicher ist, dass die Seite über eine HTTPS-Verbindung bereitgestellt wird.

Wenn Skype.com nicht Skype.com ist

Pickren entwickelte eine Ausbeutungskette, die diese Schutzvorkehrungen umging. Durch die Ausnutzung mehrerer von ihm entdeckter Schwachstellen konnte der Forscher Safari dazu zwingen, seine bösartige Proof-of-Concept-Website so zu behandeln, als wäre sie Skype.com, die zu Demonstrationszwecken in die Liste der vertrauenswürdigen Websites aufgenommen wurde. (Skype.com unterstützt Safari eigentlich nicht, aber Pickrens Ausnutzung kann jede Website, einschließlich Zoom und Google Hangouts, die dies tut, täuschen). Das folgende Video zeigt das Ergebnis.

Der Hack im Desktop-Format.

Es ist klar, dass der Besuch einer Website, die diese Fehler ausnutzte, es ihr ermöglichte, sich als jede andere Website zu tarnen. Falls Safari der gefälschten Website vertraute, um auf die Kamera zuzugreifen, konnte die böswillige Website sofort sehen, was sich im Blickfeld des Zielgeräts befand. Das Video macht auch deutlich, dass eine Videokamera in der Adressleiste erscheinen würde, sobald der Zugriff begann. Außerdem würden Mac-Kameras ein grünes Licht einschalten. Während aufmerksame Benutzer wissen würden, dass ihre Kameras aktiviert wurden, würden weniger erfahrene oder wachsame Benutzer dies vielleicht nicht bemerken.

„Einfach ausgedrückt: Der Fehler hat Apple dazu gebracht, eine bösartige Website für eine vertrauenswürdige zu halten“, schrieb Pickren. „Dies geschah durch Ausnutzung einer Reihe von Fehlern bei der Analyse von URIs, der Verwaltung von Web-Ursprüngen und der Initialisierung von sicheren Kontexten.

Seine böswillige Website verwendete JavaScript, um direkt auf die Zielkamera zuzugreifen, ohne um Erlaubnis zu bitten oder sie zu erhalten. Pickren sagte, dass Exploits „jeden JavaScript-Code mit der Möglichkeit, ein Popup zu erstellen“, hätten verwenden können. Das bedeutet, dass die Kameraabfrage laut Bitcoin Revolution nicht nur von eigenständigen Websites, sondern auch von eingebetteten Werbebannern, von Websites, die in einem HTML-Iframe-Tag gerendert werden, oder von böswilligen Browser-Erweiterungen durchgeführt werden könnte.

Der längere der beiden Beiträge des Pickren, der sich hier befindet, bietet einen tiefen Einblick in die technischen Details. In einer E-Mail fasste Pickren den Exploit auf diese Weise zusammen:

Meine bösartige Website verwendete eine „Daten-URL“, um eine „Blob-URL“ zu generieren, und benutzte dann die Web-API Location.replace(), um zu ihr zu navigieren. Dadurch wurde Safari dazu gebracht, mir versehentlich einen missgebildeten „Ursprung“ zu geben (CVE-2020-3864). Bei diesem missgebildeten Ursprung verwendete ich die window.history-API, um meine URL in „blob://skype.com“ zu ändern. Von dort aus habe ich meine Herkunft praktisch ausgeblendet, um Safari dazu zu bringen, mich in einem „sicheren Kontext“ zu sehen (CVE-2020-3865). Da Safari zuvor die URL-Schemata beim Anwenden von Website-Berechtigungen ignorierte (CVE-2020-3852), konnte ich alle Berechtigungen, die das Opfer dem echten skype.com gewährte, nutzen.

Während die Angriffskette die als CVE-2020-3864, CVE-2020-3865 und CVE-2020-3852 verfolgten Schwachstellen ausnutzte, entdeckte Pickren vier weitere Fehler, die als CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 und CVE-2020-9787 indexiert sind. Apple hat die meisten von ihnen Ende Januar behoben (siehe Hinweise hier und hier, und den Rest im letzten Monat gepatcht.