Перший у світі «невразливий», за твердженням Джона МакАфі, криптовалютний гаманець, спричинив гнів дослідників безпеки невдовзі після його запуску 28 липня 2018 року. Фахівець із кібербезпеки Райан Кастеллучі першим визначив передбачувані функції безпеки Bitfi, чим наст...
орожив і інших експертів, які згодом зробили власні висновки про гаманець Bitfi.
Рекламуючи свій гаманець МакАфі запропонував 100 000 доларів усім, хто зможе зламати «невразливий гаманець». Тим не менш, Кастеллучі та інші виявили, що в гаманці немає складного ПЗ для забезпечення безпеки і він занадто схожий на простий смартфон Android. Дослідники склали список інструкцій, доступних для публічного перегляду в Pastebin, які завантажують ОЗУ пристрою під час запуску. Цей крок дає їм огляд всіх процесів, попередньо встановлених у гаманці Bitfi. Дослідники виявили, що в пристрої немає внутрішнього холодного зберігання, зате є шкідливе програмне забезпечення під назвою Adups FOTA, яке передає конфіденційні дані користувача, такі як дзвінки, тексти і місцезнаходження, на сервери в Китаї кожні 72 години. Bitfi додатково має встановлену версію Baidu, китайської програми з вбудованими функціями відстеження GPS. Як не дивно, обидві програми, що розглядаються, передавали дані на китайські сервери під час тестування.
Цікаво, що нагорода надається лише на певних умовах. Дослідники спочатку придбали пристрій Bitfi вартістю $120, заплатили 10 доларів за завантаження монет, а потім зламали власний пристрій. Дослідник виявив, наприклад, що [якби] у пристрою був слабкий RNG, який дозволив відновити ключ, досліджуючи серію згенерованих ним транзакцій, він не отримав би нагороду. Він також не знайшов би способу захопити їхню автоматичну систему оновлення для встановлення кейлоггера.
Інші дослідники написали в твіттері, що Bitfi купив дешеві мобільні телефони оптом і продавав їх як криптовалютні гаманці, не звертаючи уваги на конфіденційність даних або потенційну втрату коштів. Тим часом МакАфі підтвердив відсутність внутрішнього сховища на пристрої Bitfi, заявляючи, що гаманець отримує інструкції «для кожної монети з наших серверів». Цей аспект робить продукт не більше, ніж онлайн-гаманцем із виділеним пристроєм для забезпечення доступу.
За матеріалами btcmanager.com
Читайте також
IOTA представила мобільний гаманець Trinity
Керівництво компанії IOTA Foundation оголосило про початок повноцінної роботи бета-версії мобільного гаманця, який отримав назву Trinity.
Binance набуває Trust Wallet
Binance, схоже, розглядає можливість розширення своєї лінії продуктів до автономного криптовалютного гаманця. Біржа повідомила про придбання рішення для мобільних гаманців під назвою Trust Wallet, який допоможе покращити централізовану архітектуру платформи.
