15 49.0138 8.38624 1 0 4000 1 https://harowo.com 300 0
theme-sticky-logo-alt
theme-logo-alt

Las billeteras de criptomonedas populares están poniendo en riesgo los activos de los usuarios

SafeWallet

Wei Li, investigador principal del Cheetah Mobile Blockchain Research Lab, ha emitido la siguiente advertencia sobre las populares carteras de criptomonedas:

Como única prueba de sus activos digitales, es imperativo que las claves privadas se almacenen de forma segura. Por lo tanto, la única prueba verdadera de una billetera de criptomonedas es su capacidad para mantener seguras sus claves privadas. El Laboratorio de investigación de cadenas de bloques de Cheetah Mobile publicó recientemente su Informe técnico de seguridad de monederos de criptomonedas de 2018. En él, analizamos las amenazas a la seguridad relacionadas con el almacenamiento de claves privadas en carteras de criptomonedas móviles..

Investigación principal de seguridad de billetera

Si una billetera no está diseñada correctamente, los usuarios se enfrentan a la posibilidad de que sus claves privadas se pierdan o se las roben. Eso significa que sus activos digitales están en riesgo y podrían ser robados o perderse fácilmente. En nuestra investigación, descubrimos que dos billeteras móviles populares, Bitcoin Wallet y Jaxx Blockchain Wallet, poseen enormes vulnerabilidades de seguridad..

Billetera Bitcoin

Bitcoin Wallet es una billetera digital popular, con más de 500,000 instalaciones y una sólida reputación. Sin embargo, al mirar más de cerca, descubrimos que las frases mnemotécnicas de Bitcoin Wallet se almacenan en formato de texto sin formato dentro del archivo /data/data/com.bitcoin.mwallet del sistema operativo del teléfono..

Nombre del producto Billetera Bitcoin
Dirección de descarga https://play.google.com/store/apps/details?id=com.bitcoin.mwallet
Instala 500.000 – 1.000.000
Versión vulnerable 4.3.2
Archivo vulnerable MD5 3FFB26365DD0F6231A373A5F17B51922
Nivel de riesgo Elevado

Esto significa que Bitcoin Wallet cede completamente el trabajo de proteger sus activos digitales al sistema operativo de su dispositivo. Todos sabemos que los sistemas operativos son extremadamente complicados y están llenos de vulnerabilidades de seguridad. Todo lo que se necesita es aprovechar una de estas vulnerabilidades para que un pirata informático robe las frases mnemotécnicas y las claves privadas de su Bitcoin Wallet. Por ejemplo, si su teléfono tiene una aplicación instalada que explota una vulnerabilidad de seguridad para obtener acceso ROOT a su sistema operativo, esta aplicación puede obtener acceso inmediato a sus frases mnemotécnicas, lo que permite a los piratas informáticos robar sus activos digitales. Además, todo esto se puede hacer entre bastidores sin que los usuarios lo sepan.

Lo que es aún más aterrador, los piratas informáticos pueden explotar el sistema para acceder a las frases mnemónicas y las claves privadas de Bitcoin Wallet a través del sistema operativo del dispositivo, tomando rápidamente sus activos incluso si ninguna de sus aplicaciones tiene acceso ROOT. Solo necesitan conectar el puerto de carga de su teléfono móvil a un dispositivo de carga controlado por piratas informáticos para hacerlo. Todo este proceso solo toma unos minutos. Las claves privadas que se almacenan en el dispositivo de un usuario deben estar encriptadas de forma segura. Aunque es una de las carteras digitales más populares del mundo, Bitcoin Wallet todavía no almacena correctamente las claves privadas de los usuarios y ya ha expuesto a más de 500.000 usuarios a riesgos de seguridad..

Cartera Jaxx

Jaxx es otra billetera de criptomonedas móvil conocida, con una gran cantidad de características, que incluyen soporte para múltiples tipos de moneda y una plataforma de intercambio de moneda digital recientemente agregada, que permite a los usuarios convertir entre tokens Bitcoin, Ether y ERC20 dentro de la billetera..

Nombre del producto Cartera Jaxx Blockchain
Dirección de descarga https://play.google.com/store/apps/details?id=com.kryptokit.jaxx
Instala 100.000 – 500.000
Versión vulnerable 1.3.11
Archivo vulnerable MD5 E661651173E149250553E219CABB0596
Nivel de riesgo Elevado

Al examinar los mecanismos de copia de seguridad de datos de Jaxx, descubrimos importantes vulnerabilidades de seguridad, incluso más graves que las que se encuentran en Bitcoin Wallet. De hecho, los piratas informáticos pueden robar las claves privadas almacenadas en Jaxx con muy poco esfuerzo..

Todo lo que se necesita son dos pasos para acceder a las claves privadas almacenadas en las billeteras Jaxx:

  1. Consiga sus archivos de datos de clave privada
  2. Descifre sus archivos de datos de clave privada

Vulnerabilidades explicadas por Jaxx paso a paso

Paso 1: obtenga acceso a los archivos de datos donde se almacenan las claves privadas

Hay dos formas en que los piratas informáticos pueden hacerse con los archivos de datos de clave privada de Jaxx:

  1. Si un pirata informático se apodera de su teléfono, puede utilizar los mecanismos de copia de seguridad de su sistema Android, como el comando de copia de seguridad adb o la API de BackupManagerService para guardar sus archivos de clave privada en un dispositivo no seguro, como una PC. El motivo de esta vulnerabilidad es que el equipo de desarrollo de Jaxx se olvidó de desactivar el atributo “android: allowBackup” en el back-end de la aplicación. Si este atributo está desactivado, no se podrá realizar ninguna copia de seguridad de la aplicación..
  2. Los piratas informáticos también pueden aprovechar las vulnerabilidades de su sistema operativo para sortear las barreras de seguridad y obtener acceso a sus archivos de claves privadas cifradas..

Paso 2: descifre los archivos de datos de la clave privada

Los archivos de datos de clave privada de Jaxx se cifran mediante un algoritmo de cifrado AES. Si la longitud de la clave secreta cumple ciertas condiciones y el algoritmo se ejecuta correctamente, entonces un archivo cifrado con AES es esencialmente irrompible. Sin embargo, el equipo de Jaxx ha cometido un gran error al ejecutar el cifrado AES al codificar el algoritmo de cifrado directamente en el código de la aplicación, en lugar de generarlo aleatoriamente de acuerdo con prácticas seguras.

Claves privadas cifradas en peligro

Una vez que un pirata informático se apodera de sus archivos de datos de clave privada cifrados, así como de sus correspondientes parámetros de cifrado AES, puede explotar fácilmente el cifrado AES para descifrar sus archivos y robar todas las claves privadas almacenadas en su billetera. Dado que el sistema de seguridad de Jaxx no se diseñó con los protocolos de seguridad adecuados, sus usuarios corren un grave riesgo de violación de datos..

Arreglo rapido?

Creemos que los equipos de Bitcoin Wallet y Jaxx pueden corregir rápidamente las vulnerabilidades de seguridad señaladas en este artículo, pero debido a que muchas claves privadas están actualmente en riesgo de ser robadas, animamos a todos los usuarios a crear direcciones de inmediato en una billetera mejorada segura, como como SafeWallet centrado en la seguridad lanzado por Cheetah Mobile; transferir sus activos a esas nuevas direcciones; y cancelar sus antiguas direcciones por completo. Solo tomando estas medidas podrán garantizar la seguridad de sus activos..

Para obtener información detallada sobre el estado actual de la seguridad de la billetera móvil, lea nuestro Informe técnico sobre la seguridad de la billetera de criptomonedas 2018.

Las opiniones expresadas en este artículo pertenecen únicamente al autor. Bitcoin Chaser se compromete a publicar una refutación o actualización tanto de Jaxx como de Bitcoin Wallet si cualquiera elige enviarnos una..

Previous Post
Bitcoin Cash Fork e o paradoxo de Newcomb
Next Post
Основните характеристики на онлайн казино софтуера