15 49.0138 8.38624 1 0 4000 1 https://harowo.com 300 0
theme-sticky-logo-alt
theme-logo-alt

A népszerű kriptovaluta pénztárcák veszélyeztetik a felhasználói eszközöket

SafeWallet

Wei Li, a Cheetah Mobile Blockchain Research Lab vezető kutatója a következő figyelmeztetést adta ki a népszerű kriptovaluta pénztárcákkal kapcsolatban:

Digitális eszközeinek egyetlen bizonyítékaként elengedhetetlen, hogy a magánkulcsokat biztonságosan tárolják. Ezért a kriptovaluta pénztárca egyetlen igazi tesztje az a képesség, hogy biztonságban tudja tartani a magánkulcsokat. A Cheetah Mobile Blockchain Research Lab nemrégiben jelentette meg a Cryptocurrency Wallet Security című 2018. évi fehér könyvét. Ebben elemeztük a mobil kriptográfiai pénztárcák magánkulcsainak tárolásával kapcsolatos biztonsági fenyegetéseket.

Fő pénztárca biztonsági kutatás

Ha a pénztárca nincs megfelelően megtervezve, a felhasználók szembesülnek azzal a lehetőséggel, hogy a magánkulcsukat elveszik vagy ellopják. Ez azt jelenti, hogy digitális eszközeik veszélyben vannak, és könnyen ellophatók vagy más módon elveszhetnek. Kutatásunk során felfedeztük, hogy két népszerű mobil pénztárca, a Bitcoin Wallet és a Jaxx Blockchain Wallet egyaránt hatalmas biztonsági réseket tartalmaz.

Bitcoin pénztárca

A Bitcoin Wallet egy népszerű digitális pénztárca, több mint 500 000 telepítéssel és jó hírnévvel. Azonban közelebbről szemügyre véve azt tapasztaltuk, hogy a Bitcoin Wallet memóriamondatai egyszerű szöveges formátumban vannak tárolva a telefon operációs rendszerének /data/data/com.bitcoin.mwallet fájljában..

Termék név Bitcoin pénztárca
Cím letöltése https://play.google.com/store/apps/details?id=com.bitcoin.mwallet
Telepítések 500 000 – 1 000 000
Sebezhető verzió 4.3.2
MD5 sérülékeny fájl 3FFB26365DD0F6231A373A5F17B51922
Kockázati szint Magas

Ez azt jelenti, hogy a Bitcoin Wallet teljesen lemond a digitális eszközök védelmének feladatáról az eszköz operációs rendszerén. Mindannyian tudjuk, hogy az operációs rendszerek rendkívül bonyolultak és tele vannak biztonsági résekkel. Ehhez csak egy hacker kiaknázása szükséges egy hacker számára, hogy ellopja a Bitcoin Wallet mnemonikus kifejezéseket és magánkulcsokat. Például, ha telefonjában van egy olyan alkalmazás telepítve, amely biztonsági rést kihasználva ROOT-hozzáférést szerez az operációs rendszerhez, akkor ez az alkalmazás azonnal hozzáférhet a memóriás mondatokhoz, lehetővé téve a hackerek számára, hogy ellopják a digitális eszközöket. Sőt, mindez a színfalak mögött megtehető anélkül, hogy a felhasználók valaha is tudnák.

Ami még ennél is félelmetesebb, hogy a hackerek kihasználhatják a rendszert, hogy az eszköz operációs rendszerén keresztül hozzáférhessenek a Bitcoin Wallet mnemonikus kifejezéseihez és magánkulcsaihoz, gyorsan elvihetik eszközeiket, még akkor is, ha egyik alkalmazásod sem rendelkezik ROOT hozzáféréssel. Ehhez csak mobilkészülékük töltőportját kell összekötniük egy hacker által vezérelt töltőeszközzel. Ez az egész folyamat csak néhány percet vesz igénybe. A felhasználó eszközén tárolt magánkulcsokat biztonságosan titkosítani kell. Annak ellenére, hogy a világ egyik legnépszerűbb digitális pénztárca, a Bitcoin Wallet még mindig nem tárolja megfelelően a felhasználók magánkulcsait, és már több mint 500 000 felhasználót tett ki biztonsági kockázatoknak.

Jaxx Wallet

A Jaxx egy másik jól ismert mobil kriptovaluta pénztárca, számos funkcióval, többek között többféle pénznem támogatásával, valamint egy nemrégiben hozzáadott digitális pénzváltó platformmal, amely lehetővé teszi a felhasználók számára, hogy a pénztárcán belül Bitcoin, Ether és ERC20 tokenek között konvertáljanak.

Termék név Jaxx Blockchain pénztárca
Cím letöltése https://play.google.com/store/apps/details?id=com.kryptokit.jaxx
Telepítések 100 000 – 500 000
Sebezhető verzió 1.3.11
Sebezhető MD5 fájl E661651173E149250553E219CABB0596
Kockázati szint Magas

A Jaxx adatmentési mechanizmusait vizsgálva jelentős biztonsági réseket fedeztünk fel, amelyek még a Bitcoin Walletban találhatóaknál is súlyosabbak. Valójában a Jaxx-ban tárolt magánkulcsokat a hackerek nagyon kevés erőfeszítéssel ellophatják.

Csak két lépés szükséges a Jaxx pénztárcákon tárolt magánkulcsok eléréséhez:

  1. Szerezzen be magánkulcs-adatfájlokat
  2. Titkosítsa a titkos kulcs adatfájljait

Jaxx lépésről lépésre elmagyarázta a biztonsági réseket

1. lépés: Nyerjen hozzáférést az adatfájlokhoz, ahol a privát kulcsokat tárolják

A hackerek kétféleképpen szerezhetik meg a Jaxx privát kulcs adatfájljait:

  1. Ha egy hacker kézbe veszi a telefonját, használhatja az Android rendszer biztonsági mentési mechanizmusait, például az adb backup parancsot vagy a BackupManagerService API-t, hogy magánkulcsfájljait nem biztonságos eszközre, például PC-re mentse. A biztonsági rés oka az, hogy a Jaxx fejlesztőcsapata elhanyagolta az „android: allowBackup” attribútum kikapcsolását az alkalmazás hátoldalán. Ha ez az attribútum ki van kapcsolva, soha nem lehet az alkalmazásról biztonsági másolatot készíteni.
  2. A hackerek kihasználhatják az operációs rendszer biztonsági réseit is, hogy megkerüljék a biztonsági akadályokat, és hozzáférjenek titkosított magánkulcsfájljaikhoz..

2. lépés: Titkosítsa a titkos kulcs adatfájljait

A Jaxx titkos kulcs adatfájljait AES titkosítási algoritmus segítségével titkosítják. Ha a titkos kulcs hossza kielégít bizonyos feltételeket, és az algoritmust megfelelően hajtják végre, akkor az AES által titkosított fájl lényegében törhetetlen. A Jaxx csapata azonban nagy hibát követett el abban, hogy az AES titkosítást úgy hajtotta végre, hogy a kódolási algoritmust keményen kódolta közvetlenül az alkalmazás kódjába, és nem véletlenszerűen generálta a biztonságos gyakorlatok szerint..

Titkosított magánkulcsok veszélyben

Miután egy hacker megszerezte a titkosított magánkulcs adatfájljait, valamint a hozzájuk tartozó AES titkosítási paramétereket, könnyen kihasználhatják az AES titkosítást a fájlok visszafejtésére és a pénztárcában tárolt összes titkos kulcs ellopására. Mivel a Jaxx biztonsági rendszerét nem megfelelő biztonsági protokollok használatával tervezték, felhasználóit komoly veszély fenyegeti az adatok megsértése miatt.

Gyors javítás?

Úgy gondoljuk, hogy a Bitcoin Wallet és a Jaxx csapatai gyorsan kijavíthatják az ebben a cikkben említett biztonsági réseket, de mivel jelenleg ennyi magánkulcsot fenyeget az ellopás veszélye, arra ösztönözzük az összes felhasználót, hogy azonnal hozzanak létre címeket egy biztonságos továbbfejlesztett pénztárcán, például mint a Cheetah Mobile által kiadott, biztonságra összpontosító SafeWallet; átutalják vagyonukat azokra az új címekre; és törölje teljesen a régi címüket. Csak e lépések megtételével tudják biztosítani eszközeik biztonságát.

A mobil pénztárca biztonságának jelenlegi állapotáról részletes információkat olvashat 2018. évi kriptovaluta pénztárca biztonsági fehér könyv.

A cikkben kifejtett nézetek kizárólag a szerzőt illetik. A Bitcoin Chaser elkötelezett amellett, hogy cáfolatot vagy frissítést tesz közzé a Jaxx és a Bitcoin Wallet részéről is, ha valamelyik úgy dönt, hogy küld nekünk egyet.

Previous Post
Entrevista com Ubex
Next Post
Пристрастието доминира в нововъзникващата биткойн регулация в Колумбия