Bitcoin Wallet и Jaxx Wallet под угрозой

5 марта 2018 г.

Исследование, проведённое Cheetah Mobile Blockchain Research Lab, вызывает серьёзные опасения насчёт одного из крупнейших биткойн-кошельков - Bitcoin.com. Более конкретно, мнемонические фразы, используемые этим сервисом, хранятся в текстовом виде в локальном файле «mwallet». Это создает огромный риск для пользователей.

Учитывая то, насколько легко взламывать мобильные телефоны в наши дни, хакер может легко получить доступ к этому незашифрованному файлу. С информацией, хранящейся внутри этого документа, он может получить мнемоническую фразу и безвозвратно импортировать кошелек пользователя другому клиенту.

Еще более проблематичным является то, что хакеру не нужен root-доступ для использования этой уязвимости. Неясно, были ли у кого-то уже похищены средства таким образом.

Jaxx Blockchain Wallet также находится под угрозой.

Во-первых, хакеры могут использовать механизмы резервного копирования Android для сохранения файла закрытого ключа пользователя на незащищенном устройстве через «Android allowBackup».

Во-вторых, можно использовать одну из многих слабых сторон операционной системы Android, чтобы обойти защитные барьеры. Несмотря на то, что Jaxx шифрует файлы приватного ключа, все еще можно взломать алгоритм шифрования AES. Команда Jaxx сделала серьезную ошибку в этом отношении, поскольку они закодировали алгоритм шифрования в коде самого приложения. Другими словами, ничто не генерируется рандомно, что делает дешифровку этой информации легкой задачей для хакеров.

Комментарии

Никто ещё не оставил комментариев. Желаете быть первым?