Первый в мире «неуязвимый», по утверждению Джона МакАфи, криптовалютный кошелек, навлек на себя гнев исследователей безопасности вскоре после его запуска 28 июля 2018 года. Специалист по кибербезопасности Райан Кастеллучи первым определил предполагаемые функции безопасности Bitfi, чем насторожил и других экспертов, которые впоследствии сделали собственные выводы о кошельке Bitfi.
Рекламируя свой кошелек МакАфи предложил 100 000 долларов всем, кто сможет взломать «неуязвимый кошелек». Тем не менее, Кастеллучи и другие обнаружили, что в кошельке нет сложного ПО для обеспечения безопасности и он слишком похож на простой смартфон Android.
Исследователи составили список инструкций, доступных для публичного просмотра в Pastebin, которые загружают ОЗУ устройства во время запуска. Этот шаг дает им обзор всех процессов, предварительно установленных в кошельке Bitfi. Исследователи обнаружили, что в устройстве нет внутреннего холодного хранения, зато есть вредоносное программное обеспечение под названием Adups FOTA, которое передает конфиденциальные пользовательские данные, такие как звонки, тексты и местоположение, на серверы в Китае каждые 72 часа. Bitfi дополнительно имеет предустановленную версию Baidu, китайского приложения с встроенными функциями отслеживания GPS. Как ни странно, оба рассматриваемых приложения передавали данные на китайские серверы во время тестирования.
Интересно, что награда предоставляется только на определенных условиях. Исследователи сначала приобрели устройство Bitfi стоимостью $ 120, заплатили 10 долларов за загрузку монет, а затем взломали собственное устройство. Исследователь обнаружил, например, что [если бы] у устройства был слабый RNG, который позволил восстановить ключ, исследуя серию транзакций, сгенерированных им, он не получил бы награду. Он также не нашел бы способа захватить их автоматическую систему обновления для установки кейлоггера.
Другие исследователи написали в твиттере, что Bitfi купил дешевые мобильные телефоны оптом и продавал их в качестве криптовалютных кошельков, не обращая внимания на конфиденциальность данных или потенциальную потерю средств. Между тем, МакАфи подтвердил отсутствие внутреннего хранилища на устройстве Bitfi, заявляя, что кошелек получает инструкции «для каждой монеты с наших серверов». Этот аспект делает продукт не более, чем онлайн-кошельком с выделенным устройством для обеспечения доступа.
По материалам btcmanager.com
Читайте также
Coinbase приобретает стартап BRD
Coinbase объявила о приобретении компании разработчика кошелька BRD.
В продаже появился новый аппаратный кошелек от Ledger
Согласно информации Bitcoin Magazine, компания Blockchain при поддержке Google Ventures начнет выпускать аппаратный кошелек, который будет интегрироваться со всеми программными сервисами.