15 49.0138 8.38624 1 0 4000 1 https://www.frank-gehry.com 300 0
theme-sticky-logo-alt
theme-logo-alt

ארנקי מטבעות קריפטוגרפיים פופולריים מסכנים נכסי משתמשים

SafeWallet

Wei Li, חוקר בכיר במעבדת המחקר Blocket Mobile Blockchain, פרסם את האזהרה הבאה על ארנקי קריפטוגרפים פופולריים:

כהוכחה היחידה לנכסים הדיגיטליים שלך, הכרחי שמפתחות פרטיים יישמרו בצורה מאובטחת. לכן, המבחן האמיתי היחיד של ארנק קריפטוגרפי הוא יכולתו לשמור על המפתחות הפרטיים שלך. מעבדת המחקר Blockchain של צ’יטה מובייל פרסמה לאחרונה את הספר הלבן אבטחת ארנק Cryptocurrency Wallet Security. בו ניתחנו את איומי האבטחה הקשורים לאחסון מפתח פרטי בארנקי מטבעות קריפטוגרפיים ניידים.

מחקר אבטחה מרכזי בארנק

אם ארנק לא מתוכנן כהלכה, המשתמשים מתמודדים עם האפשרות שהמפתחות הפרטיים שלהם יאבדו או ייגנבו. המשמעות היא שהנכסים הדיגיטליים שלהם נמצאים בסיכון ועלולים להיגנב בקלות או לאבד אותם בדרך אחרת. במחקר שלנו גילינו ששני ארנקים ניידים פופולריים, ארנק ביטקוין וארנק הבלוקצ’יין Jaxx, שניהם בעלי פגיעות אבטחה עצומות.

ארנק ביטקוין

ארנק הביטקוין הוא ארנק דיגיטלי פופולרי, עם יותר מ -500,000 התקנות ומוניטין חזק. עם זאת, כאשר בדקנו מקרוב, גילינו שהביטויים המנומניים של ארנק הביטקוין מאוחסנים בפורמט טקסט רגיל בתוך /data/data/com.bitcoin.mwallet של מערכת ההפעלה של הטלפון..

שם מוצר ארנק ביטקוין
כתובת הורדה https://play.google.com/store/apps/details?id=com.bitcoin.mwallet
התקנות 500,000 – 1,000,000
גרסה פגיעה 4.3.2
קובץ פגיע MD5 3FFB26365DD0F6231A373A5F17B51922
רמת סיכון גָבוֹהַ

המשמעות היא שארנק הביטקוין מוותר לחלוטין על מלאכת ההגנה על הנכסים הדיגיטליים שלך למערכת ההפעלה של המכשיר שלך. כולנו יודעים שמערכות הפעלה מורכבות ביותר ומלאות בפגיעות אבטחה. כל מה שנדרש הוא לנצל את אחת הפגיעות הללו עבור האקר כדי לגנוב את הביטויים והמונוניים של ארנק הביטקוין שלכם ואת המפתחות הפרטיים. לדוגמא, אם בטלפון שלך מותקנת אפליקציה שמנצלת פגיעות אבטחה כדי להשיג גישה של שורש למערכת ההפעלה שלך, יישום זה יכול לקבל גישה באופן מיידי לביטויים המנומניים שלך, ומאפשר להאקרים לגנוב את הנכסים הדיגיטליים שלך. יתר על כן, כל זה יכול להיעשות מאחורי הקלעים בלי שמשתמשים ידעו זאת מעולם.

מה שמפחיד עוד יותר, האקרים מסוגלים לנצל את המערכת כדי לגשת לביטויים המונומיים של ארנק הביטקוין ולמפתחות הפרטיים דרך מערכת ההפעלה של המכשיר, ולקחת במהירות את הנכסים שלך גם אם לאף אחת מהאפליקציות שלך אין גישה לשורש. הם רק צריכים לחבר את יציאת הטעינה של המכשיר הנייד שלך למכשיר טעינה נשלט על ידי האקר כדי לעשות זאת. כל התהליך הזה לוקח רק כמה דקות. מפתחות פרטיים המאוחסנים במכשיר של המשתמש חייבים להיות מוצפנים בצורה מאובטחת. למרות שזה אחד הארנקים הדיגיטליים הפופולאריים בעולם, ארנק הביטקוין עדיין לא מאחסן כראוי את המפתחות הפרטיים של המשתמשים וכבר חשף יותר מ -500,000 משתמשים לסיכוני אבטחה..

ארנק Jaxx

Jaxx הוא עוד ארנק קריפטוגרפי נייד ידוע, עם מספר רב של תכונות, כולל תמיכה במספר סוגים של מטבעות, ופלטפורמת המרת מטבע דיגיטלית שנוספה לאחרונה, המאפשרת למשתמשים להמיר בין אסימונים של Bitcoin, Ether ו- ERC20 בתוך הארנק..

שם מוצר ארנק Jaxx Blockchain
כתובת הורדה https://play.google.com/store/apps/details?id=com.kryptokit.jaxx
התקנות 100,000 – 500,000
גרסה פגיעה 1.3.11
קובץ פגיע MD5 E661651173E149250553E219CABB0596
רמת סיכון גָבוֹהַ

בבחינת מנגנוני גיבוי הנתונים של Jaxx, גילינו פגיעות אבטחה עיקריות, חמורות אף יותר מאלו שנמצאו בארנק הביטקוין. למעשה, האקרים יכולים לגנוב מפתחות פרטיים המאוחסנים ב- Jaxx במאמץ מועט מאוד.

כל מה שנדרש הוא שני צעדים כדי לגשת למפתחות פרטיים המאוחסנים בארנקי Jaxx:

  1. השג את קבצי נתוני המפתח הפרטיים שלך
  2. פענח את קבצי נתוני המפתח הפרטיים שלך

Jaxx הסביר פגיעויות שלב אחר שלב

שלב 1: קבל גישה לקבצי נתונים שבהם מאוחסנים המפתחות הפרטיים

ישנן שתי דרכים בהן האקרים יכולים להשיג את קבצי נתוני המפתח הפרטיים של Jaxx:

  1. אם האקר אוחז בטלפון שלך, הוא / היא יכול להשתמש במנגנוני הגיבוי של מערכת אנדרואיד שלך, כגון פקודת גיבוי adb או ה- API של BackupManagerService כדי לשמור את קבצי המפתח הפרטיים שלך בהתקן לא מאובטח, כגון מחשב אישי. הסיבה לפגיעות זו היא מכיוון שצוות הפיתוח של Jaxx התרשל בכיבוי התכונה “אנדרואיד: allowBackup” בקצה האפליקציה. אם תכונה זו מושבתת, לעולם לא ניתן לבצע גיבוי של היישום.
  2. האקרים יכולים גם לנצל נקודות תורפה במערכת ההפעלה שלכם כדי לעקוף את מחסומי האבטחה ולקבל גישה לקבצי המפתח הפרטיים המוצפנים שלכם..

שלב 2: פענוח קבצי נתוני המפתח הפרטיים

קבצי נתוני מפתח פרטיים של Jaxx מוצפנים באמצעות אלגוריתם הצפנה AES. אם אורכו של המפתח הסודי עומד בתנאים מסוימים והאלגוריתם מבוצע כראוי, הרי שקובץ מוצפן AES הוא למעשה בלתי שביר. עם זאת, צוות Jaxx עשה טעות גדולה באופן שבו הם ביצעו את הצפנת AES על ידי קידוד קשה של אלגוריתם ההצפנה ישירות לקוד האפליקציה, במקום לייצר אותו באופן אקראי על פי שיטות עבודה בטוחות..

מפתחות פרטיים מוצפנים בסכנה

ברגע שהאקר אוחז בקבצי נתוני המפתח הפרטיים המוצפנים שלך, כמו גם בפרמטרי ההצפנה המתאימים שלהם, הם יכולים לנצל את הצפנת ה- AES בקלות כדי לפענח את הקבצים שלך ולגנוב את כל המפתחות הפרטיים המאוחסנים בארנק שלך. מכיוון שמערכת האבטחה של Jaxx לא תוכננה תוך שימוש בפרוטוקולי אבטחה מתאימים, המשתמשים שלה נמצאים בסיכון רציני להפרת נתונים.

תיקון מהיר?

אנו מאמינים כי צוותי ארנק הביטקוין וג’קסקס יכולים לתקן במהירות את פרצות האבטחה שצוינו במאמר זה, אך מכיוון שמפתחות כה רבים כל כך נמצאים בסכנת גניבה, אנו ממליצים לכל המשתמשים ליצור מייד כתובות בארנק משופר מאובטח, כגון כ- SafeWallet הממוקד אבטחה ששוחרר על ידי צ’יטה מובייל; להעביר את נכסיהם לכתובות חדשות אלה; ולבטל לחלוטין את הכתובות הישנות שלהם. רק על ידי נקיטת צעדים אלה הם יוכלו להבטיח את בטיחות נכסיהם.

למידע מפורט על המצב הנוכחי של אבטחת ארנקים ניידים קרא את שלנו ספר אבטחה של ארנק מטבעות לשנת 2018.

הדעות המובעות במאמר זה שייכות למחבר בלבד. צ’ייסר ביטקוין מתחייב לפרסם דחייה או עדכון הן מג’קסקס והן מארנק הביטקוין אם יבחר לשלוח לנו אחד.

Previous Post
צנזורה על פטרון לא מספיק כדי לעבור לקריפטו מלא
Next Post
مراجعة كازينو Katsubet