«Нас не взломают…»
Исследователям безопасности удалось найти слабое место в защите аппаратного криптокошелька Bitfi, разработкой которого занимается одноименная фирма. Ее создал известный эксперт в области информационной безопасности Джон Макафи (John McAfee), стоявший у истоков антивируса McAfee (теперь принадлежит Intel). Макафи неоднократно утверждал, что Bitfi невозможно взломать или что из него невозможно угнать средства.
Сам по себе Bitfi - это устройство стоимостью $120, напоминающее смартфон и работающее под управлением ОС Android; оно предназначено для хранения криптовалют и прочих активов. Сохранность и неприкосновенность данных в нем обеспечивается секретной фразой, которую указывает пользователь, и «солью» - криптографическим модификатором для обеспечения дополнительной защиты секретной фразы. В качестве «соли» может использоваться любая величина, - например, номер телефона и т.д. Эту величину также задает пользователь.
Исследователи Салим Рашид (Saleem Rashid) и Райан Кастеллуччи (Ryan Castellucci) нашли способ обходить эту защиту и извлекать из памяти устройства и значение «соли», и саму секретную фразу с помощью локального эксплойта.
Найдена «дыра» в аппаратном криптокошельке Bitfi,
который разработчики из компании Джона Макафи называли «невзламываемым»
Разработчики Bitfi утверждают, что для каждой транзакции на основе введенной секретной фразы генерируется уникальный секретный ключ, который, после завершения операции, хранится в памяти устройства «очень непродолжительное время». Таким образом, если устройство попадет не в те руки, извлечь этот секретный ключ будет невозможно. Попытки произвести рутинг устройства, в свою очередь, приведет к стиранию содержимого памяти, так что ключ все равно извлечь не получится.
Рашид и Кастеллуччи выяснили, что ключи хранятся в памяти дольше, чем утверждают разработчики, и, судя по комментариям самого Рашида в Twitter, рутинг устройства не приводит к полной очистке RAM. Исследователям удалось разработать методику запуска постороннего кода с извлечением содержимого памяти, в том числе, секретных ключей. Причем за очень непродолжительное время.
Атака выполняется без использования каких-либо специализированных устройств – достаточно смартфона на базе Android, - и в целом достаточно проста в исполнении.
«И главный приз достается…»
Макафи предложил вознаграждение в размере $250 тыс. тому, кто сможет взломать Bitfi и вывести средства из него.
В начале августа 2018 г. другие исследователи безопасности заявили, что им удалось взломать устройство, но без вывода средств. Это заявление и сам Макафи, и сотрудники его фирмы встретили с нескрываемой враждебностью, назвав заявления о взломе ложью и пригрозив «последствиями» - причем в такой форме, что это вызвало небольшой скандал.
Рашиду и Кастеллуччи, по-видимому, удалось вывести средства, так что они вполне законно претендуют на получение крупного приза.
Подробнее:
Исследователям безопасности удалось найти слабое место в защите аппаратного криптокошелька Bitfi, разработкой которого занимается одноименная фирма. Ее создал известный эксперт в области информационной безопасности Джон Макафи (John McAfee), стоявший у истоков антивируса McAfee (теперь принадлежит Intel). Макафи неоднократно утверждал, что Bitfi невозможно взломать или что из него невозможно угнать средства.
Сам по себе Bitfi - это устройство стоимостью $120, напоминающее смартфон и работающее под управлением ОС Android; оно предназначено для хранения криптовалют и прочих активов. Сохранность и неприкосновенность данных в нем обеспечивается секретной фразой, которую указывает пользователь, и «солью» - криптографическим модификатором для обеспечения дополнительной защиты секретной фразы. В качестве «соли» может использоваться любая величина, - например, номер телефона и т.д. Эту величину также задает пользователь.
Исследователи Салим Рашид (Saleem Rashid) и Райан Кастеллуччи (Ryan Castellucci) нашли способ обходить эту защиту и извлекать из памяти устройства и значение «соли», и саму секретную фразу с помощью локального эксплойта.
Найдена «дыра» в аппаратном криптокошельке Bitfi,
который разработчики из компании Джона Макафи называли «невзламываемым»
Разработчики Bitfi утверждают, что для каждой транзакции на основе введенной секретной фразы генерируется уникальный секретный ключ, который, после завершения операции, хранится в памяти устройства «очень непродолжительное время». Таким образом, если устройство попадет не в те руки, извлечь этот секретный ключ будет невозможно. Попытки произвести рутинг устройства, в свою очередь, приведет к стиранию содержимого памяти, так что ключ все равно извлечь не получится.
Рашид и Кастеллуччи выяснили, что ключи хранятся в памяти дольше, чем утверждают разработчики, и, судя по комментариям самого Рашида в Twitter, рутинг устройства не приводит к полной очистке RAM. Исследователям удалось разработать методику запуска постороннего кода с извлечением содержимого памяти, в том числе, секретных ключей. Причем за очень непродолжительное время.
Атака выполняется без использования каких-либо специализированных устройств – достаточно смартфона на базе Android, - и в целом достаточно проста в исполнении.
«И главный приз достается…»
Макафи предложил вознаграждение в размере $250 тыс. тому, кто сможет взломать Bitfi и вывести средства из него.
В начале августа 2018 г. другие исследователи безопасности заявили, что им удалось взломать устройство, но без вывода средств. Это заявление и сам Макафи, и сотрудники его фирмы встретили с нескрываемой враждебностью, назвав заявления о взломе ложью и пригрозив «последствиями» - причем в такой форме, что это вызвало небольшой скандал.
Рашиду и Кастеллуччи, по-видимому, удалось вывести средства, так что они вполне законно претендуют на получение крупного приза.
Подробнее:
Для просмотра ссылки необходимо нажать
Вход или Регистрация