Fermer

juillet 31, 2018

Les chercheurs trouvent des tonnes de drapeaux rouges dans le portefeuille de crypto-monnaie de Bitfi



La semaine dernière, John McAfee a offert 100 000 $ à quiconque pourrait pénétrer dans le portefeuille de Bitfi – un appareil annoncé comme étant le premier portefeuille de crypto-monnaie complètement «indéchiffrable» au monde.

être rendu public. Un groupe ad hoc de pirates et de chercheurs en sécurité fait exactement cela, trouvant déjà un tas de défauts qui remettent en question la sécurité de l'appareil.

Alors que personne n'a réussi à réclamer la récompense de 100 000 $ pour avoir volé la cryptocurrence de 50 $ l'équipe l'a déchiré. Ryan Castellucci, ingénieur logiciel et hacker de matériel a commenté que Bitfi semble être exactement ce qu'il semble être de ses photos de marketing – un téléphone Android dépouillé bon marché .

Les chercheurs ont téléchargé une liste exhaustive des répertoires qui sont chargés dans sa mémoire intégrée (ROM) lorsque l'appareil est allumé. Made publiquement disponible via Pastebin, ils donnent un aperçu complet de tout ce qui est pré-installé sur l'appareil Bitfi

Le plus troublant est l'inclusion présumée d'une suite de logiciels malveillants bien connue appelée Adups FOTA, une plateforme de spyware Cela permet de transmettre le texte, l'appel, l'emplacement et les données de l'application à un serveur en Chine toutes les 72 heures

Un autre passager clandestin est l'application chinoise Baidu. Il a intégré la fonctionnalité WiFi et GPS de suivi – ce qui rend cet appareil parfait pour ceux qui aiment avoir absolument fuck-toute intimité.

Il n'y a aussi aucun stockage froid interne tous les fonds sont apparemment conservés dans ce connu comme un portefeuille chaud. C'est précisément cette méthode de stockage des cryptocurrences qui est souvent citée comme la raison principale du record de l'échange CoinCheck au début de cette année.

McAfee, également conseiller de Bitfi, a confirmé appelé "portefeuille" est en effet un petit appareil semblable à un téléphone. "Il n'y a pas de stockage interne", McAfee a tweeté . "Le portefeuille reçoit ses instructions pour chaque pièce de nos serveurs."

La sécurité de Bitfi dépend de sa capacité à garder toutes les transmissions de la clé privée et des phrases de semence en sécurité – donc son "un-hackability" est techniquement identique

Ce qui est le plus alarmant, c'est qu'il semble que la suite FOTA Adups et Baidu sont actifs et transmettent des informations.

Nous avons tendu la main à l'un des chercheurs, Cybergibbons, un consultant en sécurité pour une entreprise de piraterie blanche. Il nous a indiqué que l'accès aux données était possible grâce à un chipset Mediatek utilisé par l'appareil. La puce, une puce eMMC de 8 Go, charge les bibliothèques dans sa mémoire interne (ROM) au démarrage, ce qui rend possible le fonctionnement des applications.

"L'appareil utilise un chipset Mediatek", a expliqué le chercheur à Hard Fork . "Il arrive souvent que ces chipsets lancent un chargeur de démarrage Mediatek pendant les premières secondes au démarrage. Cela peut être interagi avec USB. ""
L'équipe a simplement utilisé un outil gratuit, SP Flash Tool, pour accéder aux données et les lire complètement. Cybergibbons a traversé le processus sur Twitter:

"Le problème est qu'ils ne semblent pas avoir minimisé l'appareil, ce qui est ce qu'ils doivent faire", a ajouté Cybergibbons. "Toutes ces choses supplémentaires vous exposent à des risques de poursuite, d'espionnage et d'autres attaques réseau."

Minimiser, dans ce cas, serait de supprimer les logiciels malveillants et les logiciels malveillants. Au lieu de cela, il semble que Bitfi vient d'acheter un tas de téléphones Android et les a expédiés sans se soucier de protéger les données sensibles de ses utilisateurs.

Il a précisé que pour l'instant, le système de fichiers de Bitfi est en lecture seule. les données stockées sur l'appareil ne peuvent pas être écrasées. Si les chercheurs ont raison, cela signifierait que le logiciel espion était probablement préchargé sur le portefeuille avant l'expédition – et non après le fait.

Le principal problème des pirates est qu'ils n'ont qu'un seul appareil. S'ils le cassent maintenant, ils ne pourront peut-être pas en obtenir un autre.

Pour l'instant, ils continueront à «pirater à sec» l'appareil – en accédant à son contenu flash mais sans interagir complètement, en enregistrant simplement son trafic réseau au fur et à mesure de son exploration. Après tout, ils sont intéressés à réclamer le prix en espèces de 100 000 $ de McAfee (plus 50 $ de cryptomonnaies) pour un piratage réussi, donc les extras seront probablement utiles.

Nous avons contacté Bitfi pour plus de commentaires, mais nous sommes encore à entendre en retour. Nous mettrons à jour cet article s'ils répondent en conséquence. En attendant, il semble que la compagnie a pris à Twitter pour minimiser les réclamations que son portefeuille de crypto-monnaie est simplement un téléphone.

't publié la preuve de l'intrusion dans le dispositif Bitfi encore, les résultats du chercheur mettent vraiment en évidence à quel point le grand public doit être sceptique quant à l'entreposage et l'utilisation de leurs cryptocurrencies.

Faites vos recherches avant de faire confiance à un appareil (ou à une application) avec vos fonds – rien n'est inébranlable .

Publié 31 juillet 2018 – 12:59 UTC
                                

Le meilleur outil 2023 pour ta croissance Instagram !



Source link