Первый в мире «неуязвимый», по утверждению Джона МакАфи, криптовалютный кошелек, навлек на себя гнев исследователей безопасности вскоре после его запуска 28 июля 2018 года. Специалист по кибербезопасности Райан Кастеллучи первым определил предполагаемые функции безопасности Bitfi, чем насторожил и других экспертов, которые впоследствии сделали собственные выводы о кошельке Bitfi.
Рекламируя свой кошелек МакАфи предложил 100 000 долларов всем, кто сможет взломать «неуязвимый кошелек». Тем не менее, Кастеллучи и другие обнаружили, что в кошельке нет сложного ПО для обеспечения безопасности и он слишком похож на простой смартфон Android.
Исследователи составили список инструкций, доступных для публичного просмотра в Pastebin, которые загружают ОЗУ устройства во время запуска. Этот шаг дает им обзор всех процессов, предварительно установленных в кошельке Bitfi. Исследователи обнаружили, что в устройстве нет внутреннего холодного хранения, зато есть вредоносное программное обеспечение под названием Adups FOTA, которое передает конфиденциальные пользовательские данные, такие как звонки, тексты и местоположение, на серверы в Китае каждые 72 часа. Bitfi дополнительно имеет предустановленную версию Baidu, китайского приложения с встроенными функциями отслеживания GPS. Как ни странно, оба рассматриваемых приложения передавали данные на китайские серверы во время тестирования.
Интересно, что награда предоставляется только на определенных условиях. Исследователи сначала приобрели устройство Bitfi стоимостью $ 120, заплатили 10 долларов за загрузку монет, а затем взломали собственное устройство. Исследователь обнаружил, например, что [если бы] у устройства был слабый RNG, который позволил восстановить ключ, исследуя серию транзакций, сгенерированных им, он не получил бы награду. Он также не нашел бы способа захватить их автоматическую систему обновления для установки кейлоггера.
Другие исследователи написали в твиттере, что Bitfi купил дешевые мобильные телефоны оптом и продавал их в качестве криптовалютных кошельков, не обращая внимания на конфиденциальность данных или потенциальную потерю средств. Между тем, МакАфи подтвердил отсутствие внутреннего хранилища на устройстве Bitfi, заявляя, что кошелек получает инструкции «для каждой монеты с наших серверов». Этот аспект делает продукт не более, чем онлайн-кошельком с выделенным устройством для обеспечения доступа.
По материалам btcmanager.com
Читайте также
Вышло обновление прошивки популярного аппаратного кошелька Trezor
26 июня компания Trezor опубликовала новость об обновлении прошивки устройств и услуг. Trezor One и Trezor Model T получили обновленное ПО, вследствие чего эти продукты получат новые функции и настройки, отображающие изменения стоимости криптовалют. Устройство Trezor теперь совместимо с обновлением Zcash Overwinter, а также будет поддерживать формат адресов CashAddr.
Приложение от Handcash позволит создать собственную платежную систему
Команда разработчиков кошелька Handcash заявила о планах выпустить версию кошелька для iOS в этом месяце. Вместе с заявлением, разработчики объявили о запуске нового PoS приложения под названием Pop.