Jaxx & Bitcoin.com-lompakon haavoittuvuudet, jotka tutkijat ovat löytäneet

Kiinalaisella Cheetah Mobile -yrityksellä on blockchain-tutkimushaara, joka pystyi löytämään haavoittuvuuden kahdesta suositusta kryptovaluutta-lompakosta.

Kyseiset lompakot ovat Bitcoin.com ja Jaxx Blockchain. Cheetah mobile otti yhteyttä lompakon kehittäjiin ilmoittamaan heille haavoittuvuudesta. Tämä tapahtui samaan aikaan myös Cheetahin oman Bitcoin-lompakon, jota kutsutaan SafeWalletiksi, julkaisemisen kanssa..

Jos paljastus on todellakin totta, sen on täytynyt olla melko vakava haavoittuvuus. Nämä lompakot ovat epäilemättä joitain markkinoiden suosituimpia, ja miljoonat käyttäjät käyttävät niitä maailmanlaajuisesti.

Joten mikä tarkalleen oli haavoittuvuus ja kuinka suuri riski sinulla oli?

Bitcoin.com-lompakko

Bitcoin.com-lompakon tapauksessa muistisiemen lauseita ei salattu ennen niiden tallentamista. Ne tallennettiin pelkkänä tekstiversiona seuraavaan hakemistoon “/data/data/com.bitcoin.mwallet”. Tämä tiedosto on puhelimen käyttöjärjestelmässä ja on siten paikallinen.

Tämän pääsyfraasin saamiseksi tarvitaan vain se, että joku haittaohjelma voi yrittää saada “pääkäyttäjän”. Tämä tarkoittaa, että heillä olisi etuoikeutettu pääsy suurimpaan osaan puhelimen tiedostoista.

Hyökkääjän on siis vain tiedettävä, että joku on säännöllinen Bitcoin-käyttäjä ja että hänen valitsemansa lompakko on yksi Bitcoin.com-sivustosta. He saattoivat saada heidät asentamaan haittaohjelman, joka antaisi hakkereille pääkäyttäjän pääsyn ja siten kykenevän saamaan siemen sanat.

Vaihda IQ-vaihtoehdon kryptovaluuttoja nyt

Niille, jotka eivät tiedä kuinka salausvaluutan lompakot toimivat, näitä alkusanoja käytetään avaamaan yksityiset avaimesi. Kun hyökkääjällä on pääsy tähän, he voivat purkaa varasi sydämenlyönnissä.

Jaxx Blockchain -lompakko

Jaxx-lompakon tapauksessa yksityinen avain oli paremmin suojattu. Avain laitettiin AES-algoritmin kautta, joka on yksi turvallisimmista menetelmistä tietojen salaamiseen. Tätä käyttävät myös useat Yhdysvaltain valtion virastot viestiensä turvaamiseksi.

Vaikka Jaxx-kehittäjät olivat salanneet yksityiset avaimet oikein, AES-salausalgoritmin toteutus oli sovelluksen koodipohjassa. Tämä tarkoittaa, että salatut yksityiset avaimet voivat silti olla hyödyllisiä hakkereille.

Ottaen huomioon, että hakkeri osaa nyt purkaa yksityiset avaimet, he voivat tehdä sen helposti toisella laitteella. Nyt kun yksityinen avain on tosiasiallisesti purettu, he voivat käyttää sitä lompakkoosi pääsemiseen ja varojen tyhjentämiseen.

Tämä ei ole ensimmäinen kerta, kun joku on korostanut ongelmia Jaxx Bitcoin -lompakossa. Esimerkiksi tutkijat Techgage ovat huomanneet, että Jaxx tallentaa käyttäjätiedot% APPDATA% -kansioon. Nämä käyttäjätiedot ovat kaikki mitä tarvitaan lompakon todentamiseen uudelleen.

Siksi, jos joku pääsi pääsemään tietokoneeseesi sekä SOVELLUSTIEDOT kansion, he voisivat vain todentaa tämän toisella tietokoneella ja avata lompakon uudelleen. Näiden käyttäjätietojen avulla he voivat tehokkaasti allekirjoittaa tapahtumia ja lähettää varojasi.

Mikä on gepardilompakko?

Cheetah Mobile -logo

Kuva wikipedia.org-sivuston kautta

Ottaen huomioon, että tutkijat Cheetah Mobile pystyivät havaitsemaan nämä haavoittuvuudet ja paljastamaan ne muille kehittäjille, voidaan odottaa heidän olevan loistava mobiililompakkoratkaisu.

Cheetah Mobile -tiimi on julkaissut laajan julkaisun valkoinen paperi missä ne kuvaavat tärkeimmät näkökohdat oikean matkapuhelimen valitsemiseen. He ottivat useita näistä parhaista käytännöistä ja sisällyttivät ne omaan omistukseensa SafeWallet.

SafeWallet käyttää “ainutlaatuista kolmiportaista” turvapuolustusjärjestelmää. He haluavat yrittää suojella käyttäjää kolmella avaintavalla, joihin kuuluvat käyttäjän käyttäytyminen, omaisuuden hallinta ja puhelimen turvallisuus. Lompakko tukee tällä hetkellä Bitcoinia ja Ethereumia lisävaluuttatuella pian.

Mielenkiintoista on, että lompakko sisältää myös algoritmin, joka optimoi transaktiomaksut. Tästä voi olla hyötyä niille uusille käyttäjille, jotka eivät ole liian perehtyneet Bitcoin-transaktiomaksuihin ja Ethereumin kaasun hinnoitteluun.

Safewallet on edelleen uusi lompakko, mikä tarkoittaa, että se tarvitsee aikaa todistamaan itsensä, ennen kuin sitä voidaan käyttää suurempien kolikoiden varastointiin. Silti heidän tutkimuksensa muista huomattavasti suosituimpien lompakoiden haavoittuvuuksista pitäisi lisätä heidän valtakirjaansa.

Esitelty kuva Fotolian kautta

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me