Перший у світі «невразливий», за твердженням Джона МакАфі, криптовалютний гаманець, спричинив гнів дослідників безпеки невдовзі після його запуску 28 липня 2018 року. Фахівець із кібербезпеки Райан Кастеллучі першим визначив передбачувані функції безпеки Bitfi, чим наст...
орожив і інших експертів, які згодом зробили власні висновки про гаманець Bitfi.
Рекламуючи свій гаманець МакАфі запропонував 100 000 доларів усім, хто зможе зламати «невразливий гаманець». Тим не менш, Кастеллучі та інші виявили, що в гаманці немає складного ПЗ для забезпечення безпеки і він занадто схожий на простий смартфон Android. Дослідники склали список інструкцій, доступних для публічного перегляду в Pastebin, які завантажують ОЗУ пристрою під час запуску. Цей крок дає їм огляд всіх процесів, попередньо встановлених у гаманці Bitfi. Дослідники виявили, що в пристрої немає внутрішнього холодного зберігання, зате є шкідливе програмне забезпечення під назвою Adups FOTA, яке передає конфіденційні дані користувача, такі як дзвінки, тексти і місцезнаходження, на сервери в Китаї кожні 72 години. Bitfi додатково має встановлену версію Baidu, китайської програми з вбудованими функціями відстеження GPS. Як не дивно, обидві програми, що розглядаються, передавали дані на китайські сервери під час тестування.
Цікаво, що нагорода надається лише на певних умовах. Дослідники спочатку придбали пристрій Bitfi вартістю $120, заплатили 10 доларів за завантаження монет, а потім зламали власний пристрій. Дослідник виявив, наприклад, що [якби] у пристрою був слабкий RNG, який дозволив відновити ключ, досліджуючи серію згенерованих ним транзакцій, він не отримав би нагороду. Він також не знайшов би способу захопити їхню автоматичну систему оновлення для встановлення кейлоггера.
Інші дослідники написали в твіттері, що Bitfi купив дешеві мобільні телефони оптом і продавав їх як криптовалютні гаманці, не звертаючи уваги на конфіденційність даних або потенційну втрату коштів. Тим часом МакАфі підтвердив відсутність внутрішнього сховища на пристрої Bitfi, заявляючи, що гаманець отримує інструкції «для кожної монети з наших серверів». Цей аспект робить продукт не більше, ніж онлайн-гаманцем із виділеним пристроєм для забезпечення доступу.
За матеріалами btcmanager.com
Читайте також
Samourai виходить на новий рівень
3 травня один із найбільш конфіденційних біткойн-гаманців Samourai Wallet оголосив у своєму блозі про випуск нових оновлень, які додадуть багато різноманітних функцій. У новому оновленні буде присутня повна підтримка bech32, Blotzmann та STONEWALL, а також розширений спектр транзакц...
Ethereum гаманець imToken отримав фінансування на $10 мільйонів
У той час як великі конкуренти на кшталт Coinbase та Electrum є найпоширенішими криптовалютними гаманцями, менш відомий китайський гаманець під назвою imToken отримав фінансування у розмірі $10 мільйонів від IDG Ventures. За допомогою цього гаманця зберігається понад $35 мільярдів у кр...
