La semaine dernière, John McAfee a offert 100 000 $ à quiconque pourrait pénétrer dans le portefeuille de Bitfi – un appareil annoncé comme étant le premier portefeuille de crypto-monnaie complètement «indéchiffrable» au monde.
être rendu public. Un groupe ad hoc de pirates et de chercheurs en sécurité fait exactement cela, trouvant déjà un tas de défauts qui remettent en question la sécurité de l'appareil.
Alors que personne n'a réussi à réclamer la récompense de 100 000 $ pour avoir volé la cryptocurrence de 50 $ l'équipe l'a déchiré. Ryan Castellucci, ingénieur logiciel et hacker de matériel a commenté que Bitfi semble être exactement ce qu'il semble être de ses photos de marketing – un téléphone Android dépouillé bon marché .
Bitfi semble être exactement ce que il ressemble à partir des photos – un téléphone Android dépouillé à bas prix. Il y a quelques captures d'écran exigeant d'être connecté au WiFi pour fonctionner ailleurs dans le flux de @cybergibbons . Quelqu'un aura probablement Doom en cours d'exécution vendredi. https://t.co/cC1pZsahJH
– Ryan Castellucci (@ryancdotorg) 29 juillet 2018
Les chercheurs ont téléchargé une liste exhaustive des répertoires qui sont chargés dans sa mémoire intégrée (ROM) lorsque l'appareil est allumé. Made publiquement disponible via Pastebin, ils donnent un aperçu complet de tout ce qui est pré-installé sur l'appareil Bitfi
Le plus troublant est l'inclusion présumée d'une suite de logiciels malveillants bien connue appelée Adups FOTA, une plateforme de spyware Cela permet de transmettre le texte, l'appel, l'emplacement et les données de l'application à un serveur en Chine toutes les 72 heures
Un autre passager clandestin est l'application chinoise Baidu. Il a intégré la fonctionnalité WiFi et GPS de suivi – ce qui rend cet appareil parfait pour ceux qui aiment avoir absolument fuck-toute intimité.
Il n'y a aussi aucun stockage froid interne tous les fonds sont apparemment conservés dans ce connu comme un portefeuille chaud. C'est précisément cette méthode de stockage des cryptocurrences qui est souvent citée comme la raison principale du record de l'échange CoinCheck au début de cette année.
McAfee, également conseiller de Bitfi, a confirmé appelé "portefeuille" est en effet un petit appareil semblable à un téléphone. "Il n'y a pas de stockage interne", McAfee a tweeté . "Le portefeuille reçoit ses instructions pour chaque pièce de nos serveurs."
La sécurité de Bitfi dépend de sa capacité à garder toutes les transmissions de la clé privée et des phrases de semence en sécurité – donc son "un-hackability" est techniquement identique
Ce qui est le plus alarmant, c'est qu'il semble que la suite FOTA Adups et Baidu sont actifs et transmettent des informations.
Au moins les Baidu et les Adups les applications sont en effet en cours d'exécution sur l'appareil, y compris appeler Baidu et Adups.
Le reste des partitions système / fournisseur inclut des pilotes pour les périphériques supprimés comme la caméra, tcpdump, adbd et plusieurs autres binaires de débogage. / 2
– OverSoft (@OverSoftNL) 30 juillet 2018
Nous avons tendu la main à l'un des chercheurs, Cybergibbons, un consultant en sécurité pour une entreprise de piraterie blanche. Il nous a indiqué que l'accès aux données était possible grâce à un chipset Mediatek utilisé par l'appareil. La puce, une puce eMMC de 8 Go, charge les bibliothèques dans sa mémoire interne (ROM) au démarrage, ce qui rend possible le fonctionnement des applications.
"L'appareil utilise un chipset Mediatek", a expliqué le chercheur à Hard Fork . "Il arrive souvent que ces chipsets lancent un chargeur de démarrage Mediatek pendant les premières secondes au démarrage. Cela peut être interagi avec USB. ""
L'équipe a simplement utilisé un outil gratuit, SP Flash Tool, pour accéder aux données et les lire complètement. Cybergibbons a traversé le processus sur Twitter:
Nous permettant de vider le système de fichiers. pic.twitter.com/bDXJuWB4QM
– Demandez à Cybergibbons! (@ cybergibbons) 30 juillet 2018
"Le problème est qu'ils ne semblent pas avoir minimisé l'appareil, ce qui est ce qu'ils doivent faire", a ajouté Cybergibbons. "Toutes ces choses supplémentaires vous exposent à des risques de poursuite, d'espionnage et d'autres attaques réseau."
Minimiser, dans ce cas, serait de supprimer les logiciels malveillants et les logiciels malveillants. Au lieu de cela, il semble que Bitfi vient d'acheter un tas de téléphones Android et les a expédiés sans se soucier de protéger les données sensibles de ses utilisateurs.
Il a précisé que pour l'instant, le système de fichiers de Bitfi est en lecture seule. les données stockées sur l'appareil ne peuvent pas être écrasées. Si les chercheurs ont raison, cela signifierait que le logiciel espion était probablement préchargé sur le portefeuille avant l'expédition – et non après le fait.
Le principal problème des pirates est qu'ils n'ont qu'un seul appareil. S'ils le cassent maintenant, ils ne pourront peut-être pas en obtenir un autre.
Pour l'instant, ils continueront à «pirater à sec» l'appareil – en accédant à son contenu flash mais sans interagir complètement, en enregistrant simplement son trafic réseau au fur et à mesure de son exploration. Après tout, ils sont intéressés à réclamer le prix en espèces de 100 000 $ de McAfee (plus 50 $ de cryptomonnaies) pour un piratage réussi, donc les extras seront probablement utiles.
Nous avons contacté Bitfi pour plus de commentaires, mais nous sommes encore à entendre en retour. Nous mettrons à jour cet article s'ils répondent en conséquence. En attendant, il semble que la compagnie a pris à Twitter pour minimiser les réclamations que son portefeuille de crypto-monnaie est simplement un téléphone.
Oh si drôle John. Ce n'est évidemment pas un téléphone mais une tablette de 3,9 "avec écran tactile. Il n'a même pas de haut-parleur alors de quoi parlez-vous? Puisque vous prétendez que c'est un téléphone, pourquoi n'essaieriez-vous pas d'appeler et de nous dire comment ça se passe?
– Bitfi (@ Bitfi6) 31 juillet 2018
't publié la preuve de l'intrusion dans le dispositif Bitfi encore, les résultats du chercheur mettent vraiment en évidence à quel point le grand public doit être sceptique quant à l'entreposage et l'utilisation de leurs cryptocurrencies.
Faites vos recherches avant de faire confiance à un appareil (ou à une application) avec vos fonds – rien n'est inébranlable .
Publié 31 juillet 2018 – 12:59 UTC
Source link