Vulnerabilitats de la cartera de Jaxx i Bitcoin.com descobertes pels investigadors

Una empresa xinesa anomenada Cheetah Mobile té un grup d’investigació de blockchain que va poder trobar una vulnerabilitat en dos populars moneders de criptomonedes.

Les carteres en qüestió són la cartera Bitcoin.com i Jaxx Blockchain. Cheetah Mobile va contactar amb els desenvolupadors de carteres per informar-los de la vulnerabilitat. Això també va coincidir amb el llançament de la cartera Bitcoin de Cheetah, que es diu “SafeWallet”..

Si la divulgació és cert, és probable que aquesta sigui una vulnerabilitat força greu. Aquestes carteres són, sens dubte, algunes de les més populars del mercat i són utilitzades per milions d’usuaris a tot el món.

Llavors, quina era exactament la vulnerabilitat i el risc que teníeu??

Cartera Bitcoin.com

En el cas de la cartera Bitcoin.com, les frases de llavor mnemotècniques no es van xifrar abans d’emmagatzemar-les. Es van emmagatzemar com a versió de text pla al directori següent “/data/data/com.bitcoin.mwallet”. Aquest fitxer existeix al sistema operatiu del telèfon i, per tant, és local.

Per obtenir accés a aquesta frase inicial, només caldria que alguna aplicació malintencionada pogués intentar obtenir “accés root”. Això significa que tindrien accés privilegiat a bona part dels fitxers del telèfon.

Per tant, tot el que hauria de saber l’atacant és que algú és usuari habitual de Bitcoin i que la seva cartera escollida és la de Bitcoin.com. Podrien aconseguir que instal·lessin l’aplicació malintencionada que donaria accés a l’arrel de pirata informàtic i així podrien obtenir les paraules inicials.

Comerç de criptomonedes amb opció IQ

Per a aquells que no saben com funcionen les carteres de criptomonedes, aquestes paraules inicials s’utilitzen per desbloquejar les vostres claus privades. Una vegada que l’atacant tingui accés a això, pot sifonar els vostres fons en un ritme cardíac.

Cartera Jaxx Blockchain

En el cas de la cartera Jaxx, la clau privada estava millor protegida. La clau es va introduir mitjançant un algorisme AES que és un dels mètodes més segurs per xifrar les dades. Això també l’utilitzen diverses agències governamentals dels EUA per protegir els seus missatges.

No obstant això, tot i que els desenvolupadors de Jaxx havien xifrat correctament les claus privades, la implementació de l’algorisme de xifratge AES es trobava a la base de codi de l’aplicació. Això significa que les claus privades encriptades podrien ser útils per a un pirata informàtic.

Atès que ara el pirata informàtic sap desxifrar les claus privades, ho pot fer fàcilment en un altre dispositiu. Ara, amb la clau privada desxifrada eficaçment, la poden utilitzar per accedir a la cartera i esgotar els fons.

No és la primera vegada que algú ressalta problemes amb la cartera Bitcoin de Jaxx. Per exemple, els investigadors de Techgage han trobat que Jaxx emmagatzema la informació de l’usuari a la carpeta% APPDATA%. Aquesta informació d’usuari és la necessària per tornar a autenticar la cartera.


Per tant, si algú va poder accedir al vostre PC, així com a DADES D’APLICACIONS de la carpeta, només podrien autenticar-ho en un altre ordinador i tornar a obrir la cartera. Amb aquestes dades d’usuari, poden signar eficaçment transaccions i enviar els vostres fons.

Què és The Cheetah Wallet?

Logotip de Cheetah Mobile

Imatge a través de wikipedia.org

Tenint en compte que els investigadors de Cheetah Mobile van poder descobrir aquestes vulnerabilitats i divulgar-les als altres desenvolupadors, es podria esperar que tinguessin una solució excel·lent.

L’equip de Cheetah Mobile ha llançat un extens paper blanc on es detallen les consideracions més importants per triar la cartera mòbil adequada. Van adoptar diverses d’aquestes pràctiques recomanades i les van incorporar a les seves pròpies propietats SafeWallet.

SafeWallet fa ús del sistema de defensa de seguretat “de tres nivells únic”. Volen protegir l’usuari de tres maneres clau que inclouen el comportament de l’usuari, la gestió d’actius i la seguretat del telèfon. Actualment, la cartera admet Bitcoin i Ethereum amb un suport addicional de la moneda properament.

Curiosament, la cartera també inclourà un algorisme que optimitzarà les comissions de transacció. Això pot ser útil per a aquells usuaris nous que no estiguin massa familiaritzats amb les tarifes de transacció de Bitcoin i el preu del gas Ethereum.

Safewallet encara és una cartera nova, cosa que significa que necessita temps per demostrar-se abans de poder utilitzar-la per emmagatzemar quantitats més grans de monedes. Tot i això, la seva investigació sobre les altres vulnerabilitats en carteres molt més populars hauria d’afegir les seves credencials.

Imatge destacada a través de Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map