Первый в мире «неуязвимый», по утверждению Джона МакАфи, криптовалютный кошелек, навлек на себя гнев исследователей безопасности вскоре после его запуска 28 июля 2018 года. Специалист по кибербезопасности Райан Кастеллучи первым определил предполагаемые функции безопасности Bitfi, чем насторожил и других экспертов, которые впоследствии сделали собственные выводы о кошельке Bitfi.
Рекламируя свой кошелек МакАфи предложил 100 000 долларов всем, кто сможет взломать «неуязвимый кошелек». Тем не менее, Кастеллучи и другие обнаружили, что в кошельке нет сложного ПО для обеспечения безопасности и он слишком похож на простой смартфон Android.
Исследователи составили список инструкций, доступных для публичного просмотра в Pastebin, которые загружают ОЗУ устройства во время запуска. Этот шаг дает им обзор всех процессов, предварительно установленных в кошельке Bitfi. Исследователи обнаружили, что в устройстве нет внутреннего холодного хранения, зато есть вредоносное программное обеспечение под названием Adups FOTA, которое передает конфиденциальные пользовательские данные, такие как звонки, тексты и местоположение, на серверы в Китае каждые 72 часа. Bitfi дополнительно имеет предустановленную версию Baidu, китайского приложения с встроенными функциями отслеживания GPS. Как ни странно, оба рассматриваемых приложения передавали данные на китайские серверы во время тестирования.
Интересно, что награда предоставляется только на определенных условиях. Исследователи сначала приобрели устройство Bitfi стоимостью $ 120, заплатили 10 долларов за загрузку монет, а затем взломали собственное устройство. Исследователь обнаружил, например, что [если бы] у устройства был слабый RNG, который позволил восстановить ключ, исследуя серию транзакций, сгенерированных им, он не получил бы награду. Он также не нашел бы способа захватить их автоматическую систему обновления для установки кейлоггера.
Другие исследователи написали в твиттере, что Bitfi купил дешевые мобильные телефоны оптом и продавал их в качестве криптовалютных кошельков, не обращая внимания на конфиденциальность данных или потенциальную потерю средств. Между тем, МакАфи подтвердил отсутствие внутреннего хранилища на устройстве Bitfi, заявляя, что кошелек получает инструкции «для каждой монеты с наших серверов». Этот аспект делает продукт не более, чем онлайн-кошельком с выделенным устройством для обеспечения доступа.
По материалам btcmanager.com
Читайте также
Компания Hideez Group выпустила первый украинский криптокошелек
По данным Ain.ua, компания Hideez Group представила миру первый украинский криптовалютный кошелек. Устройство работает на базе "умного" брелка Hideez Key и носит название Hideez Wallet. Для подписания транзакций в устройстве используется технология Invisible Pin, работающая как комбинация коротких и длинных нажатий кнопки. Производители считают, что такой код нельзя перехватить или подсмотреть.
Ускоритель транзакций Bitcoin: Trustee Booster Kit
Заждались новых фич? - Вот и наша очередная порция новостей о Большом обновлении 15-го декабря - Trustee Booster Kit - ускоритель транзакций биткоин