15 49.0138 8.38624 1 0 4000 1 https://www.frank-gehry.com 300 0
theme-sticky-logo-alt
theme-logo-alt

Beliebte Cryptocurrency Wallets gefährden das Vermögen der Benutzer

SafeWallet

Wei Li, leitender Forscher am Cheetah Mobile Blockchain Research Lab, hat die folgende Warnung zu gängigen Kryptowährungsbrieftaschen ausgegeben:

Als einziger Beweis für Ihre digitalen Assets ist es unbedingt erforderlich, dass private Schlüssel sicher gespeichert werden. Daher ist der einzig wahre Test einer Kryptowährungsbrieftasche die Fähigkeit, Ihre privaten Schlüssel sicher zu verwahren. Das Blockchain Research Lab von Cheetah Mobile hat kürzlich das Whitepaper Cryptocurrency Wallet Security 2018 veröffentlicht. Darin analysierten wir die Sicherheitsbedrohungen im Zusammenhang mit der Speicherung von privaten Schlüsseln in mobilen Kryptowährungs-Wallets.

Main Wallet Security Research

Wenn eine Brieftasche nicht richtig gestaltet ist, besteht für Benutzer die Möglichkeit, dass ihre privaten Schlüssel verloren gehen oder gestohlen werden. Das bedeutet, dass ihre digitalen Assets gefährdet sind und leicht gestohlen werden oder auf andere Weise verloren gehen können. Bei unseren Untersuchungen haben wir festgestellt, dass zwei beliebte mobile Geldbörsen, Bitcoin Wallet und Jaxx Blockchain Wallet, große Sicherheitslücken aufweisen.

Bitcoin Wallet

Bitcoin Wallet ist eine beliebte digitale Geldbörse mit mehr als 500.000 Installationen und einem guten Ruf. Bei näherer Betrachtung stellten wir jedoch fest, dass die mnemonischen Phrasen von Bitcoin Wallet im Nur-Text-Format in der Datei /data/data/com.bitcoin.mwallet des Betriebssystems des Telefons gespeichert sind.

Produktname Bitcoin Wallet
Adresse herunterladen https://play.google.com/store/apps/details?id=com.bitcoin.mwallet
Installiert 500.000 – 1.000.000
Anfällige Version 4.3.2
Anfällige Datei MD5 3FFB26365DD0F6231A373A5F17B51922
Risikostufe Hoch

Dies bedeutet, dass Bitcoin Wallet den Schutz Ihrer digitalen Assets für das Betriebssystem Ihres Geräts vollständig aufgibt. Wir alle wissen, dass Betriebssysteme äußerst kompliziert und voller Sicherheitslücken sind. Sie müssen lediglich eine dieser Sicherheitslücken ausnutzen, damit ein Hacker Ihre mnemonischen Phrasen und privaten Schlüssel für Bitcoin Wallet stehlen kann. Wenn auf Ihrem Telefon beispielsweise eine App installiert ist, die eine Sicherheitslücke ausnutzt, um ROOT-Zugriff auf Ihr Betriebssystem zu erhalten, kann diese App sofort auf Ihre mnemonischen Phrasen zugreifen, sodass Hacker Ihre digitalen Assets stehlen können. Darüber hinaus kann dies alles hinter den Kulissen erfolgen, ohne dass Benutzer dies jemals wissen.

Noch beängstigender ist, dass Hacker das System nutzen können, um über das Betriebssystem des Geräts auf die mnemonischen Phrasen und privaten Schlüssel von Bitcoin Wallet zuzugreifen und Ihre Assets schnell zu übernehmen, selbst wenn keine Ihrer Apps über ROOT-Zugriff verfügt. Dazu müssen sie lediglich den Ladeanschluss Ihres Mobiltelefons mit einem von Hackern gesteuerten Ladegerät verbinden. Dieser gesamte Vorgang dauert nur wenige Minuten. Private Schlüssel, die auf dem Gerät eines Benutzers gespeichert sind, müssen sicher verschlüsselt sein. Obwohl Bitcoin Wallet eine der beliebtesten digitalen Geldbörsen der Welt ist, speichert es die privaten Schlüssel der Benutzer immer noch nicht ordnungsgemäß und hat bereits mehr als 500.000 Benutzer Sicherheitsrisiken ausgesetzt.

Jaxx Geldbörse

Jaxx ist eine weitere bekannte mobile Kryptowährungsbrieftasche mit einer Vielzahl von Funktionen, einschließlich der Unterstützung mehrerer Währungstypen, und einer kürzlich hinzugefügten Plattform für den digitalen Geldwechsel, mit der Benutzer zwischen Bitcoin-, Ether- und ERC20-Token innerhalb der Brieftasche konvertieren können.

Produktname Jaxx Blockchain Wallet
Adresse herunterladen https://play.google.com/store/apps/details?id=com.kryptokit.jaxx
Installiert 100.000 – 500.000
Anfällige Version 1.3.11
Anfällige Datei MD5 E661651173E149250553E219CABB0596
Risikostufe Hoch

Bei der Untersuchung der Datensicherungsmechanismen von Jaxx haben wir große Sicherheitslücken entdeckt, die noch schwerwiegender sind als die in Bitcoin Wallet. In Jaxx gespeicherte private Schlüssel können von Hackern mit sehr geringem Aufwand gestohlen werden.

Sie benötigen lediglich zwei Schritte, um auf private Schlüssel zuzugreifen, die in Jaxx-Brieftaschen gespeichert sind:

  1. Besorgen Sie sich Ihre privaten Schlüsseldatendateien
  2. Entschlüsseln Sie Ihre privaten Schlüsseldatendateien

Jaxx erklärte Schritt für Schritt Schwachstellen

Schritt 1: Erhalten Sie Zugriff auf Datendateien, in denen die privaten Schlüssel gespeichert sind

Es gibt zwei Möglichkeiten, wie Hacker auf die privaten Schlüsseldatendateien von Jaxx zugreifen können:

  1. Wenn ein Hacker Ihr Telefon in die Hand nimmt, kann er die Sicherungsmechanismen Ihres Android-Systems wie den Befehl adb backup oder die BackupManagerService-API verwenden, um Ihre privaten Schlüsseldateien auf einem unsicheren Gerät wie einem PC zu speichern. Der Grund für diese Sicherheitsanfälligkeit liegt darin, dass das Entwicklungsteam von Jaxx es versäumt hat, das Attribut “android: allowBackup” im Backend der App zu deaktivieren. Wenn dieses Attribut deaktiviert ist, kann niemals eine Sicherung der Anwendung durchgeführt werden.
  2. Hacker können auch Schwachstellen in Ihrem Betriebssystem ausnutzen, um Sicherheitsbarrieren zu umgehen und Zugriff auf Ihre verschlüsselten privaten Schlüsseldateien zu erhalten.

Schritt 2: Entschlüsseln Sie die privaten Schlüsseldatendateien

Jaxx-Datendateien mit privatem Schlüssel werden mit einem AES-Verschlüsselungsalgorithmus verschlüsselt. Wenn die Länge des geheimen Schlüssels bestimmte Bedingungen erfüllt und der Algorithmus ordnungsgemäß ausgeführt wird, ist eine AES-verschlüsselte Datei im Wesentlichen unzerbrechlich. Das Jaxx-Team hat jedoch einen großen Fehler bei der Ausführung der AES-Verschlüsselung gemacht, indem es den Verschlüsselungsalgorithmus direkt in den Code der App codiert hat, anstatt ihn nach sicheren Methoden zufällig zu generieren.

Verschlüsselte private Schlüssel in Gefahr

Sobald ein Hacker Ihre verschlüsselten Datendateien mit privaten Schlüsseln sowie die entsprechenden AES-Verschlüsselungsparameter abgerufen hat, kann er die AES-Verschlüsselung problemlos nutzen, um Ihre Dateien zu entschlüsseln und alle in Ihrer Brieftasche gespeicherten privaten Schlüssel zu stehlen. Da das Sicherheitssystem von Jaxx nicht mit geeigneten Sicherheitsprotokollen entwickelt wurde, besteht für die Benutzer ein ernstes Risiko einer Datenverletzung.

Schnelle Lösung?

Wir glauben, dass die Teams von Bitcoin Wallet und Jaxx die in diesem Artikel genannten Sicherheitslücken schnell beheben können. Da jedoch derzeit so viele private Schlüssel gestohlen werden können, empfehlen wir allen Benutzern, sofort Adressen auf einer sicheren, erweiterten Brieftasche zu erstellen als sicherheitsorientierte SafeWallet von Cheetah Mobile; ihr Vermögen an diese neuen Adressen übertragen; und stornieren ihre alten Adressen vollständig. Nur durch diese Schritte können sie die Sicherheit ihres Vermögens gewährleisten.

Ausführliche Informationen zum aktuellen Stand der Sicherheit mobiler Geldbörsen finden Sie in unserer 2018 Cryptocurrency Wallet Security White Paper.

Die in diesem Artikel geäußerten Ansichten gehören allein dem Autor. Bitcoin Chaser verpflichtet sich, eine Gegenargumentation oder ein Update von Jaxx und Bitcoin Wallet zu veröffentlichen, wenn einer von uns eine sendet.

Previous Post
הפרדוקס של ביטקוין קאש פורק וניו-קומב
Next Post
الميزات الرئيسية لبرنامج الكازينو على الإنترنت