15 49.0138 8.38624 1 0 4000 1 https://www.frank-gehry.com 300 0
theme-sticky-logo-alt
theme-logo-alt

Τα δημοφιλή πορτοφόλια κρυπτονομισμάτων θέτουν τα στοιχεία χρηστών σε κίνδυνο

SafeWallet

Ο Wei Li, ανώτερος ερευνητής στο Cheetah Mobile Blockchain Research Lab, εξέδωσε την ακόλουθη προειδοποίηση σχετικά με τα δημοφιλή πορτοφόλια κρυπτογράφησης:

Ως μοναδική απόδειξη των ψηφιακών σας στοιχείων, είναι επιτακτική ανάγκη τα ιδιωτικά κλειδιά να αποθηκεύονται με ασφάλεια. Επομένως, η μόνη πραγματική δοκιμασία ενός πορτοφολιού κρυπτογράφησης είναι η ικανότητά του να διατηρεί τα ιδιωτικά σας κλειδιά ασφαλή. Το Blockchain Research Lab της Cheetah Mobile κυκλοφόρησε πρόσφατα τη Λευκή Βίβλο για το Cryptocurrency Wallet Security 2018. Σε αυτό, αναλύσαμε τις απειλές ασφαλείας που σχετίζονται με την αποθήκευση ιδιωτικών κλειδιών σε πορτοφόλια κρυπτογράφησης για κινητά.

Κύρια Έρευνα Ασφάλειας Πορτοφολιού

Εάν ένα πορτοφόλι δεν έχει σχεδιαστεί σωστά, οι χρήστες αντιμετωπίζουν την πιθανότητα απώλειας ή κλοπής των ιδιωτικών κλειδιών τους. Αυτό σημαίνει ότι τα ψηφιακά τους περιουσιακά στοιχεία βρίσκονται σε κίνδυνο και θα μπορούσαν εύκολα να κλαπούν ή να χαθούν. Στην έρευνά μας, ανακαλύψαμε ότι δύο δημοφιλή πορτοφόλια για κινητά, το Bitcoin Wallet και το Jaxx Blockchain Wallet, και τα δύο διαθέτουν τεράστιες ευπάθειες ασφαλείας.

Πορτοφόλι Bitcoin

Το Bitcoin Wallet είναι ένα δημοφιλές ψηφιακό πορτοφόλι, με περισσότερες από 500.000 εγκαταστάσεις και ισχυρή φήμη. Ωστόσο, καθώς ρίξαμε μια πιο προσεκτική ματιά, διαπιστώσαμε ότι οι μνημονικές φράσεις του Πορτοφολιού Bitcoin αποθηκεύονται σε μορφή απλού κειμένου στο αρχείο /data/data/com.bitcoin.mwallet του λειτουργικού συστήματος του τηλεφώνου.

Ονομασία προϊόντος Πορτοφόλι Bitcoin
Λήψη διεύθυνσης https://play.google.com/store/apps/details?id=com.bitcoin.mwallet
Εγκαταστάσεις 500.000 – 1.000.000
Ευάλωτη έκδοση 4.3.2
Ευάλωτο αρχείο MD5 3FFB26365DD0F6231A373A5F17B51922
Επίπεδο κινδύνου Υψηλός

Αυτό σημαίνει ότι το Bitcoin Wallet παραιτείται εντελώς από τη δουλειά της προστασίας των ψηφιακών σας στοιχείων στο λειτουργικό σύστημα της συσκευής σας. Όλοι γνωρίζουμε ότι τα λειτουργικά συστήματα είναι εξαιρετικά περίπλοκα και είναι γεμάτα από ευπάθειες ασφαλείας. Το μόνο που χρειάζεται είναι η εκμετάλλευση μιας από αυτές τις ευπάθειες για έναν χάκερ να κλέψει τις μνημονικές φράσεις και τα ιδιωτικά κλειδιά του Πορτοφολιού Bitcoin Για παράδειγμα, εάν στο τηλέφωνό σας έχει εγκατασταθεί μια εφαρμογή που εκμεταλλεύεται μια ευπάθεια ασφαλείας για να αποκτήσει πρόσβαση ROOT στο λειτουργικό σας σύστημα, αυτή η εφαρμογή μπορεί να αποκτήσει αμέσως πρόσβαση στις μνημονικές σας φράσεις, επιτρέποντας στους χάκερ να κλέψουν τα ψηφιακά σας στοιχεία. Επιπλέον, όλα αυτά μπορούν να γίνουν πίσω από τα παρασκήνια χωρίς να γνωρίζουν ποτέ οι χρήστες.

Αυτό που είναι ακόμη πιο τρομακτικό, οι χάκερ μπορούν να εκμεταλλευτούν το σύστημα για να αποκτήσουν πρόσβαση στις μνημονικές φράσεις και τα ιδιωτικά κλειδιά του Πορτοφολιού Bitcoin μέσω του λειτουργικού συστήματος της συσκευής, παίρνοντας γρήγορα τα στοιχεία σας ακόμη και αν καμία από τις εφαρμογές σας δεν έχει πρόσβαση ROOT. Απλώς πρέπει να συνδέσουν τη θύρα φόρτισης του κινητού σας τηλεφώνου σε μια συσκευή φόρτισης ελεγχόμενη από χάκερ για να το κάνουν. Αυτή η όλη διαδικασία διαρκεί μόνο λίγα λεπτά. Τα ιδιωτικά κλειδιά που είναι αποθηκευμένα στη συσκευή ενός χρήστη πρέπει να κρυπτογραφούνται με ασφάλεια. Παρόλο που είναι ένα από τα πιο δημοφιλή ψηφιακά πορτοφόλια στον κόσμο, το Πορτοφόλι Bitcoin εξακολουθεί να μην αποθηκεύει σωστά τα ιδιωτικά κλειδιά των χρηστών και έχει ήδη εκθέσει περισσότερους από 500.000 χρήστες σε κινδύνους ασφαλείας.

Πορτοφόλι Jaxx

Το Jaxx είναι ένα άλλο γνωστό πορτοφόλι κρυπτογράφησης κινητής τηλεφωνίας, με μεγάλο αριθμό χαρακτηριστικών, συμπεριλαμβανομένης της υποστήριξης για πολλούς τύπους νομισμάτων και μια πλατφόρμα ανταλλαγής ψηφιακών νομισμάτων που προστέθηκε πρόσφατα, η οποία επιτρέπει στους χρήστες να κάνουν μετατροπή μεταξύ token Bitcoin, Ether και ERC20 εντός του πορτοφολιού.

Ονομασία προϊόντος Πορτοφόλι Jaxx Blockchain
Λήψη διεύθυνσης https://play.google.com/store/apps/details?id=com.kryptokit.jaxx
Εγκαταστάσεις 100.000 – 500.000
Ευάλωτη έκδοση 1.3.11
Ευάλωτο αρχείο MD5 E661651173E149250553E219CABB0596
Επίπεδο κινδύνου Υψηλός

Εξετάζοντας τους μηχανισμούς δημιουργίας αντιγράφων ασφαλείας δεδομένων της Jaxx, ανακαλύψαμε σημαντικές ευπάθειες ασφαλείας, ακόμη πιο σοβαρές από αυτές που εντοπίστηκαν στο Πορτοφόλι Bitcoin. Στην πραγματικότητα, τα ιδιωτικά κλειδιά που είναι αποθηκευμένα στο Jaxx μπορούν να κλαπούν από χάκερ με πολύ λίγη προσπάθεια.

Το μόνο που χρειάζεται είναι δύο βήματα για να αποκτήσετε πρόσβαση σε ιδιωτικά κλειδιά που είναι αποθηκευμένα σε πορτοφόλια Jaxx:

  1. Κρατήστε τα αρχεία δεδομένων του ιδιωτικού κλειδιού σας
  2. Αποκρυπτογραφήστε τα αρχεία δεδομένων ιδιωτικού κλειδιού σας

Η Jaxx εξήγησε τις ευπάθειες βήμα προς βήμα

Βήμα 1: Αποκτήστε πρόσβαση σε αρχεία δεδομένων όπου αποθηκεύονται τα ιδιωτικά κλειδιά

Υπάρχουν δύο τρόποι με τους οποίους οι χάκερ θα μπορούσαν να κρατήσουν τα αρχεία προσωπικού κλειδιού της Jaxx:

  1. Εάν ένας χάκερ κρατήσει το τηλέφωνό σας, μπορεί να χρησιμοποιήσει τους μηχανισμούς δημιουργίας αντιγράφων ασφαλείας του συστήματός σας Android, όπως η εντολή δημιουργίας αντιγράφων ασφαλείας adb ή το API BackupManagerService για να αποθηκεύσετε τα αρχεία ιδιωτικών κλειδιών σας σε μια μη ασφαλή συσκευή, όπως έναν υπολογιστή. Ο λόγος για αυτήν την ευπάθεια είναι επειδή η ομάδα ανάπτυξης του Jaxx παραμελήθηκε να απενεργοποιήσει το χαρακτηριστικό “android: allowBackup” στο παρασκήνιο της εφαρμογής. Εάν αυτό το χαρακτηριστικό είναι απενεργοποιημένο, δεν μπορεί να εκτελεστεί αντίγραφο ασφαλείας της εφαρμογής.
  2. Οι χάκερ μπορούν επίσης να εκμεταλλευτούν τρωτά σημεία στο λειτουργικό σας σύστημα για να παρακάμψουν τα εμπόδια ασφαλείας και να αποκτήσουν πρόσβαση στα κρυπτογραφημένα αρχεία ιδιωτικού κλειδιού σας.

Βήμα 2: Αποκρυπτογράφηση αρχείων δεδομένων ιδιωτικού κλειδιού

Τα αρχεία δεδομένων ιδιωτικού κλειδιού Jaxx κρυπτογραφούνται χρησιμοποιώντας έναν αλγόριθμο κρυπτογράφησης AES. Εάν το μήκος του μυστικού κλειδιού ικανοποιεί ορισμένες προϋποθέσεις και ο αλγόριθμος εκτελείται σωστά, τότε ένα κρυπτογραφημένο αρχείο AES είναι ουσιαστικά άθραυστο. Ωστόσο, η ομάδα Jaxx έκανε ένα μεγάλο λάθος στον τρόπο εκτέλεσης της κρυπτογράφησης AES κωδικοποιώντας σκληρά τον αλγόριθμο κρυπτογράφησης απευθείας στον κώδικα της εφαρμογής, αντί να τον παράγει τυχαία σύμφωνα με ασφαλείς πρακτικές.

Κρυπτογραφημένα ιδιωτικά κλειδιά σε κίνδυνο

Μόλις ένας χάκερ πάρει τα κρυπτογραφημένα αρχεία δεδομένων προσωπικού κλειδιού σας, καθώς και τις αντίστοιχες παραμέτρους κρυπτογράφησης AES, μπορούν εύκολα να εκμεταλλευτούν την κρυπτογράφηση AES για να αποκρυπτογραφήσουν τα αρχεία σας και να κλέψουν όλα τα ιδιωτικά κλειδιά που είναι αποθηκευμένα στο πορτοφόλι σας. Δεδομένου ότι το σύστημα ασφαλείας της Jaxx δεν σχεδιάστηκε χρησιμοποιώντας κατάλληλα πρωτόκολλα ασφαλείας, οι χρήστες του διατρέχουν σοβαρό κίνδυνο παραβίασης δεδομένων.

Γρήγορο φτιάξιμο?

Πιστεύουμε ότι οι ομάδες Bitcoin Wallet και Jaxx μπορούν να διορθώσουν γρήγορα τις ευπάθειες ασφαλείας που επισημαίνονται σε αυτό το άρθρο, αλλά επειδή τόσα πολλά ιδιωτικά κλειδιά διατρέχουν τον κίνδυνο κλοπής, ενθαρρύνουμε όλους τους χρήστες να δημιουργήσουν αμέσως διευθύνσεις σε ένα ασφαλές βελτιωμένο πορτοφόλι, όπως ως το SafeWallet που επικεντρώνεται στην ασφάλεια που κυκλοφόρησε η Cheetah Mobile. μεταφέρουν τα περιουσιακά τους στοιχεία σε αυτές τις νέες διευθύνσεις · και να ακυρώσουν πλήρως τις παλιές διευθύνσεις τους. Μόνο λαμβάνοντας αυτά τα μέτρα θα μπορέσουν να διασφαλίσουν την ασφάλεια των περιουσιακών τους στοιχείων.

Για λεπτομερείς πληροφορίες σχετικά με την τρέχουσα κατάσταση της ασφάλειας του πορτοφολιού για κινητά, διαβάστε το Λευκή Βίβλος για το Πορτοφόλι Cryptocurrency 2018.

Οι απόψεις που εκφράζονται σε αυτό το άρθρο ανήκουν μόνο στον συγγραφέα. Το Bitcoin Chaser δεσμεύεται να δημοσιεύσει αμφισβήτηση ή ενημέρωση τόσο από το Jaxx όσο και από το Πορτοφόλι Bitcoin, εάν κάποιος επιλέξει να μας στείλει ένα.

Previous Post
הפרדוקס של ביטקוין קאש פורק וניו-קומב
Next Post
الميزات الرئيسية لبرنامج الكازينو على الإنترنت