Наукотех: Специалисты безопасности взломали "неуязвимый" криптокошелёк

В конце июля 2018 года предприниматель Джон Макафи объявил в Твиттере, что готов выплатить 100 тысяч долларов тому, кто взломает криптовалютный кошелёк Bitfi. Он утверждал, что Bitfi — первый «невзламываемый» продукт в мире.

После критики со стороны сообщества, компания увеличила вознаграждение до 250 тысяч долларов и утвердила конкретные условия получения награды. Кошелёк Bitfi – это отдельный бэкэнд-сервис и аппаратное устройство, которое якобы обеспечивает дополнительный уровень защиты.

Исследователям предложили купить устройство, на котором уже есть некоторое количество криптовалюты, защищённое неизвестным паролем, не хранящимся на самом устройстве. По мнению Bitfi, чтобы устройство считалось взломанным, нужно было вывести деньги с кошелька.

Экспертам потребовалось чуть больше недели, чтобы опровергнуть заявление Макафи. Сначала выяснилось, что аппаратное устройство представляет собой упрощённый Android-смартфон, из которого убрали отвечающие за сотовую связь компоненты.

Разобрав устройство, исследователи обнаружили в нём сразу несколько проблем с безопасностью. Например, экран оказался небезопасно соединён с платой по незашифрованному протоколу: это значит, что злоумышленники могут просматривать, что пользователи набирают на экране.

Кроме того, кошелёк никак не реагировал на стороннее вмешательство —устройство можно разобрать и исследовать, а оно продолжит работать. Таким образом можно, например, перепрошить Bitfi и вернуть его владельцу. Похоже, что создатели Bitfi не потрудились даже убрать стандартные сервисы и библиотеки при переделке Android-смартфонов: эксперты обнаружили следы передачи данных на сервера компаний Baidu и Adups.

1 августа нидерландский эксперт, известный под псевдонимом «OverSoft», заявил, что получил root-права к «невзламываемому» кошельку и скопировал файловую систему. В твиттере исследователь рассказал, что его группа изменила прошивку Bitfi, но устройство продолжило подключаться к сервису и входить в аккаунт.

Компания ответила не сразу, но заявила, что не может подтвердить взлом своей системы. Однако сразу после этого гендиректор Bitfi объявил о второй программе по поиску уязвимостей, в которой предлагалась награда уже в 25 раз меньше предыдущей — всего 10 тысяч долларов.

OverSoft в ответ на это заявил, что компания на самом деле в принципе не собиралась платить кому-либо из хакеров — «это был чистый маркетинг». После этого исследователь показал, как кошелёк можно взломать, даже не покупая само устройство за 120 долларов: сервис запускается на любом компьютере с эмулятором Android.

Да, вам не нужно устройство Bitfi, чтобы запустить кошелёк Bitfi. Я повторю: в этом устройстве нет ничего, что заставляет приложение функционировать только на нём. Никаких элементов безопасности. Они могут просто выпустить его в Play Store как обычное приложение.

После этого к обсуждению присоединился лично Джон Макафи. Он записал серию видео, в которых назвал идиотами тех, кто пользуется двухфакторной аутентификацией, и обвинил хакеров в работе на конкурентов.

Бизнесмен заявил, что кошелёк нельзя считать взломанным, пока исследователям не удалось вывести с него деньги. Но OverSoft с ним не согласился и ответил на видео серией твитов.

Меня попросили ответить на видео Макафи о том, что „получение root-доступа это не взлом“. Я не хочу глубоко в это погружаться, в первую очередь потому что это не имеет смысла. Но серьёзный кошелёк должен быть безопасным всегда. Если в него можно установить кейлоггер [программа для записи действий пользователя], то это НЕБЕЗОПАСНО, ведь это может случиться даже до того, как вы получите устройство.

Сейчас они предлагают вторую программу вознаграждения, которая НАМНОГО меньше и просто смешная. Они на самом деле пытаются заплатить копейки от реальной стоимости проверки на уязвимости. Когда все спрашивают „когда заплатите, сэр?“, они не приходят. Но будете ли вы теперь использовать Bitfi, зная всё это?

И если вы думаете, что вы в безопасности, покупая у них кошелёк напрямую, подумайте об этом. Как много людей задействованы в доставке продукта до вашего дома? Все они могут превратить Bitfi во вредоносное устройство.

Мы никогда не увидим это вознаграждение. Если вы взгляните на данные компании, то увидите, что у них даже нет свободных 250 тысяч долларов в данный момент (это публичная информация). Но нам плевать. Мы не работаем над этим 24/7. И да, мы выпустим полное видео и статью с описанием, что было сделано.

Джон Макафи известен как создатель первого коммерческого антивируса, который он назвал своим именем. В 2012 году эксцентричный бизнесмен переехал в Белиз, где его жизнь превратилась в круговорот наркотиков, оружия, коррупции, убийств и не только.

В 2013 году из-за преследования местных властей Макафи сбежал в Гватемалу, но его депортировали в США. После этого предприниматель анонсировал устройство за 100 долларов, которое якобы сможет защитить пользователей от слежки АНБ. Тогда эксперты также раскритиковали разработку из-за слабой безопасности.

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded