«Невзламываемый» криптовалютный кошелек Bitfi Джона Макафи оказался примитивным Android-смартфоном - «Новости»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Новости мира Интернет » Новости » «Невзламываемый» криптовалютный кошелек Bitfi Джона Макафи оказался примитивным Android-смартфоном - «Новости»
.




);

Недавно Джон Макафи  анонсировал у себя в Twitter, что готов выплатить вознаграждение  любому, кто сумеет взломать криптовалютный кошелек Bitfi, созданный одноименной компанией совместно с самим Макафи. Он назвал Bitfi «невзламываемым» и призвал скептиков убедиться в этом лично.





Сначала Макафи пообещал исследователям вознаграждение в размере 100 000 долларов США, однако скептики отметили, что размер предложенной награды подозрительно скромен для «невзламываемого» решения (за которое к тому же придется отдать 120 долларов), и заподозрили, что Макафи попросту пытается провести аудит своего продукта за счет сообщества и поднять продажи.


Тогда вознаграждение было увеличено до 250 000 долларов, а «условия задачи» конкретизированы. Исследователям предлагается приобрести кошелек уже содержащий криптовалюту и с неизвестной парольной фразой. Требуется извлечь токены с устройства, и лишь тогда оно будет считаться взломанным. При этом ключ, использующийся для доступа к криптовалюте, не хранится на самом устройстве.


Пока, спустя неделю после этого анонса, ИБ-специалисты убедились лишь в том, что «невзламываемый» Bitfi построен на базе примитивного смартфона на Android, из которого были удалены некоторые компоненты (в основном отвечающие непосредственно за сотовую связь). Выяснилось, что Bitfi работает на базе Mediatek MT6580 и его устройство, по сути, повторяет конструкцию многих смартфонов. При этом за Bitfi просят 150 долларов, тогда как такое железо вряд ли может стоить больше 35 долларов.





Также ИБ-специалисты раскритиковали само задание bug bounty программы. Так, в блоге Cybergibbons известный исследователь Эндрю Тирни (Andrew Tierney) пишет, что предложенная специалистам схема покрывает только один метод атак: хищение средств с украденного устройства Bitfi, которое уже оказалось в руках хакеров. Однако в реальности только этим сценарием дело, конечно, не ограничивается. К примеру, преступники могут осуществить атаку на цепочку поставок и модифицировать кошельки, чтобы те запоминали и пересылали все ключи третьей стороне. Также в устройства могут встроить бэкдор, однако подобные сценарии атак не были включены в bug bounty, а устройство упорно продолжают называть «невзламываемым».


В свою очередь, специалисты Pen Test Partners посвятили анализу Bitfi уже две статьи. Исследователи выявили множество проблем в якобы защищенном аппаратном кошельке. Так, тачскрин сообщается с чипсетом посредством незашифрованного протокола I2C, то есть в теории злоумышленники могут «прослушивать» эти коммуникации и извлечь парольную фразу сразу же после того, как она была набрана на экране.


Хуже того, кошельки оказались практически никак не защищены от несанкционированного вмешательства. То есть Bitfi можно вскрыть и исследовать, а он продолжит работать, как ни в чем не бывало. В итоге злоумышленники могут делать с железом и прошивкой гаджета все, что заблагорассудится, а потом могут собрать его обратно и вернуть вредоносную версию жертве.


Также оказалось возможным получить доступ и сделать дамп файловой системы устройства. А некоторые эксперты и вовсе обнаружили, что ПО, которым укомплектован Bitfi, собирает информацию о пользователях и передает эти данные на серверы компаний Baidu и Adups в Китай. Кроме того, на устройствах были обнаружены стандартные библиотеки MediaTek и примеры предустановленных приложений.








Позже специалистам удалось получить root-доступ к девайсу, и взломанный кошелек продолжил работать, связываться с бэкэндом и позволял войти в учетную запись Bitfi.





В ответ на эти публикации ИБ-специалистов Джон Макафи сначала назвал все обвинениями беспочвенными и заявил, что это происки конкурентов-монополистов. Сегодня, 2 августа 2018 года, Макафи и вовсе опубликовал в своем Twitter серию видео-сообщений, в которых продолжил настаивать на том, что Bitfi является «невзламываемым», потому что «использует блокчейн», а также на устройстве «нет памяти» и ломать там нечего. Поэтому получение root-доступа, по его мнению, абсолютно бесполезно и никак не помогает похитить с кошелька средства.


Кроме того, он назвал всех, кто использует двухфакторную аутентификацию, идиотами (и рассказал, как легко в наши дни осуществить атаку типа SIM swap, то есть перевыпустить SIM-карту жертвы, обратившись к оператору связи и применив социальную инженерию, или клонировать SIM). Обращение Макафи в трех частях можно увидеть ниже.











Источник новостиgoogle.com

. ); Недавно Джон Макафи анонсировал у себя в Twitter, что готов выплатить вознаграждение любому, кто сумеет взломать криптовалютный кошелек Bitfi, созданный одноименной компанией совместно с самим Макафи. Он назвал Bitfi «невзламываемым» и призвал скептиков убедиться в этом лично. For all you naysayers who claim that “nothing is unhackable”

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

запостил(а)
Gardner
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))