Перший у світі «невразливий», за твердженням Джона МакАфі, криптовалютний гаманець, спричинив гнів дослідників безпеки невдовзі після його запуску 28 липня 2018 року. Фахівець із кібербезпеки Райан Кастеллучі першим визначив передбачувані функції безпеки Bitfi, чим наст...
орожив і інших експертів, які згодом зробили власні висновки про гаманець Bitfi.
Рекламуючи свій гаманець МакАфі запропонував 100 000 доларів усім, хто зможе зламати «невразливий гаманець». Тим не менш, Кастеллучі та інші виявили, що в гаманці немає складного ПЗ для забезпечення безпеки і він занадто схожий на простий смартфон Android. Дослідники склали список інструкцій, доступних для публічного перегляду в Pastebin, які завантажують ОЗУ пристрою під час запуску. Цей крок дає їм огляд всіх процесів, попередньо встановлених у гаманці Bitfi. Дослідники виявили, що в пристрої немає внутрішнього холодного зберігання, зате є шкідливе програмне забезпечення під назвою Adups FOTA, яке передає конфіденційні дані користувача, такі як дзвінки, тексти і місцезнаходження, на сервери в Китаї кожні 72 години. Bitfi додатково має встановлену версію Baidu, китайської програми з вбудованими функціями відстеження GPS. Як не дивно, обидві програми, що розглядаються, передавали дані на китайські сервери під час тестування.
Цікаво, що нагорода надається лише на певних умовах. Дослідники спочатку придбали пристрій Bitfi вартістю $120, заплатили 10 доларів за завантаження монет, а потім зламали власний пристрій. Дослідник виявив, наприклад, що [якби] у пристрою був слабкий RNG, який дозволив відновити ключ, досліджуючи серію згенерованих ним транзакцій, він не отримав би нагороду. Він також не знайшов би способу захопити їхню автоматичну систему оновлення для встановлення кейлоггера.
Інші дослідники написали в твіттері, що Bitfi купив дешеві мобільні телефони оптом і продавав їх як криптовалютні гаманці, не звертаючи уваги на конфіденційність даних або потенційну втрату коштів. Тим часом МакАфі підтвердив відсутність внутрішнього сховища на пристрої Bitfi, заявляючи, що гаманець отримує інструкції «для кожної монети з наших серверів». Цей аспект робить продукт не більше, ніж онлайн-гаманцем із виділеним пристроєм для забезпечення доступу.
За матеріалами btcmanager.com
Читайте також
Баг NEO дозволяє хакерам заробляти
Згідно з інформацією китайської інтернет-компанії Tencent, користувачі NEO ризикують втратити свої кошти в будь-яку секунду, оскільки нещодавно виявлена вразливість у системі безпеки дозволяє хакерам отримувати віддалений доступ до їхніх гаманців.
Samsung пропонуватиме послуги холодного зберігання
Згідно з інформацією західних ЗМІ, компанія Samsung розробляє криптовалютний сервіс, який буде запущений разом у виходом Galaxy S10.
