Первый в мире «неуязвимый», по утверждению Джона МакАфи, криптовалютный кошелек, навлек на себя гнев исследователей безопасности вскоре после его запуска 28 июля 2018 года. Специалист по кибербезопасности Райан Кастеллучи первым определил предполагаемые функции безопасности Bitfi, чем насторожил и других экспертов, которые впоследствии сделали собственные выводы о кошельке Bitfi.
Рекламируя свой кошелек МакАфи предложил 100 000 долларов всем, кто сможет взломать «неуязвимый кошелек». Тем не менее, Кастеллучи и другие обнаружили, что в кошельке нет сложного ПО для обеспечения безопасности и он слишком похож на простой смартфон Android.
Исследователи составили список инструкций, доступных для публичного просмотра в Pastebin, которые загружают ОЗУ устройства во время запуска. Этот шаг дает им обзор всех процессов, предварительно установленных в кошельке Bitfi. Исследователи обнаружили, что в устройстве нет внутреннего холодного хранения, зато есть вредоносное программное обеспечение под названием Adups FOTA, которое передает конфиденциальные пользовательские данные, такие как звонки, тексты и местоположение, на серверы в Китае каждые 72 часа. Bitfi дополнительно имеет предустановленную версию Baidu, китайского приложения с встроенными функциями отслеживания GPS. Как ни странно, оба рассматриваемых приложения передавали данные на китайские серверы во время тестирования.
Интересно, что награда предоставляется только на определенных условиях. Исследователи сначала приобрели устройство Bitfi стоимостью $ 120, заплатили 10 долларов за загрузку монет, а затем взломали собственное устройство. Исследователь обнаружил, например, что [если бы] у устройства был слабый RNG, который позволил восстановить ключ, исследуя серию транзакций, сгенерированных им, он не получил бы награду. Он также не нашел бы способа захватить их автоматическую систему обновления для установки кейлоггера.
Другие исследователи написали в твиттере, что Bitfi купил дешевые мобильные телефоны оптом и продавал их в качестве криптовалютных кошельков, не обращая внимания на конфиденциальность данных или потенциальную потерю средств. Между тем, МакАфи подтвердил отсутствие внутреннего хранилища на устройстве Bitfi, заявляя, что кошелек получает инструкции «для каждой монеты с наших серверов». Этот аспект делает продукт не более, чем онлайн-кошельком с выделенным устройством для обеспечения доступа.
По материалам btcmanager.com
Читайте также
Trustee Wallet. Большой релиз. Мониторинг обменных пунктов
В предыдущем анонсе мы рассказали о новинках функциональности Trustee Wallet, которые ждут вас 15-го декабря. Также в честь Большого обновления разработчики анонсировали подарок - 1000$ в биткоине, который сможет забрать самый внимательный и шустрый зритель YouTube канала Trustee. В этом выпуске мы поговорим о расширении возможностей покупки/продажи криптовалют с помощью банковских карт и их обмене.
Goldman Sachs и Новогратц инвестируют в крипто-кошелек BitGo
Инвестиционный банк Goldman Sachs и биткоин-бык Майк Новогратц инвестировали $ 15 миллионов в компанию BitGo Holdings Inc., которая предоставит надежное средство хранения активов для институциональных инвесторов и богатых клиентов. Таким средством компания считает свой криптокошелек BitGo на сумму 1 триллион долларов.