La primera billetera de criptomonedas "irrompible" del mundo, según John McAfee, provocó la ira de los investigadores de seguridad poco después de su lanzamiento el 28 de julio de 2018. El especialista en ciberseguridad Ryan Castellucci fue el primero en identificar las supuestas características de seguridad de Bitfi, alarmando a otros expertos que posteriormente sacaron sus propias conclusiones sobre la billetera Bitfi.
Al anunciar su billetera, McAfee ofreció 100.000 dólares a cualquiera que pudiera piratear la "billetera invulnerable". Sin embargo, Castellucci y otros descubrieron que la billetera carece de un software de seguridad sofisticado y se parece demasiado a un simple teléfono inteligente Android.
Los investigadores compilaron una lista de instrucciones, visibles públicamente en Pastebin, que cargan la RAM del dispositivo durante el inicio. Este paso les brinda una descripción general de todos los procesos preinstalados en la billetera Bitfi. Los investigadores descubrieron que el dispositivo no tiene almacenamiento en frío interno, sino que contiene software malicioso llamado Adups FOTA que transmite datos confidenciales del usuario, como llamadas, mensajes de texto y ubicación, a servidores en China cada 72 horas. Bitfi además viene preinstalada con una versión de Baidu, una aplicación china con funciones de seguimiento GPS integradas. Curiosamente, ambas aplicaciones en cuestión transmitieron datos a servidores chinos durante las pruebas.
Curiosamente, la recompensa solo está disponible bajo ciertas condiciones. Los investigadores primero compraron un dispositivo Bitfi de 120 dólares, pagaron 10 dólares para descargar monedas y luego piratearon su propio dispositivo. El investigador descubrió, por ejemplo, que [si] el dispositivo tuviera un RNG débil que le permitiera recuperar la clave examinando la serie de transacciones que generó, no habría recibido la recompensa. Tampoco habría encontrado una manera de secuestrar su sistema de actualización automática para instalar el keylogger.
Otros investigadores tuitearon que Bitfi compraba teléfonos móviles baratos al por mayor y los vendía como carteras de criptomonedas, sin tener en cuenta la privacidad de los datos ni la posible pérdida de fondos. Mientras tanto, McAfee confirmó que no hay almacenamiento interno en el dispositivo Bitfi y afirmó que la billetera recibe instrucciones "por moneda de nuestros servidores". Este aspecto hace que el producto no sea más que una billetera en línea con un dispositivo dedicado para el acceso.
Basado en materiales de btcmanager.com
Leer también
Se ha lanzado una actualización de firmware para la popular billetera de hardware Trezor
El 26 de junio, Trezor publicó noticias sobre la actualización del firmware de dispositivos y servicios. Trezor One y Trezor Model T han recibido software actualizado, como resultado de lo cual estos productos recibirán nuevas funciones y configuraciones que reflejan los cambios en el valor de las criptomonedas. El dispositivo Trezor ahora es compatible con la actualización Zcash Overwinter y también admitirá el formato de dirección CashAddr.
El error NEO permite a los piratas informáticos ganar dinero
Según la empresa china de Internet Tencent, los usuarios de NEO corren el riesgo de perder sus fondos en cualquier momento, ya que una vulnerabilidad de seguridad recientemente descubierta permite a los piratas informáticos obtener acceso remoto a sus billeteras.
