Von Forschern entdeckte Sicherheitslücken in Jaxx & Bitcoin.com Wallet

Ein chinesisches Unternehmen namens Cheetah Mobile verfügt über einen Blockchain-Forschungszweig, der eine Sicherheitslücke in zwei beliebten Cryptocurrency-Geldbörsen finden konnte.

Bei den fraglichen Geldbörsen handelt es sich um die Geldbörse Bitcoin.com und Jaxx Blockchain. Cheetah Mobile wandte sich an die Wallet-Entwickler, um sie über die Sicherheitsanfälligkeit zu informieren. Dies fiel auch mit der Veröffentlichung von Cheetahs eigener Bitcoin-Brieftasche zusammen, die als “SafeWallet” bezeichnet wird..

Wenn die Offenlegung tatsächlich wahr ist, muss dies eine ziemlich schwerwiegende Sicherheitslücke gewesen sein. Diese Geldbörsen gehören zweifellos zu den beliebtesten auf dem Markt und werden von Millionen von Benutzern weltweit verwendet.

Was genau war die Sicherheitslücke und in welchem ​​Risiko waren Sie??

Bitcoin.com Wallet

Im Fall der Bitcoin.com-Brieftasche wurden die mnemonischen Startphrasen vor dem Speichern nicht verschlüsselt. Sie wurden als Klartextversion im folgenden Verzeichnis gespeichert: „/data/data/com.bitcoin.mwallet”. Diese Datei befindet sich auf dem Betriebssystem des Telefons und ist daher lokal.

Um Zugriff auf diese Startphrase zu erhalten, muss lediglich eine böswillige Anwendung versuchen, einen „Root-Zugriff“ zu erhalten. Dies bedeutet, dass sie privilegierten Zugriff auf einen Großteil der Dateien des Telefons haben würden.

Alles, was der Angreifer wissen muss, ist, dass jemand ein regulärer Bitcoin-Benutzer ist und dass seine bevorzugte Brieftasche die von Bitcoin.com ist. Sie könnten sie dazu bringen, die bösartige Anwendung zu installieren, die dem Hacker Root-Zugriff gewährt und dadurch die Startwörter erhält.

Handeln Sie jetzt mit Kryptowährungen der IQ Option

Für diejenigen, die nicht wissen, wie Brieftaschen mit Kryptowährung funktionieren, werden diese Startwörter verwendet, um Ihre privaten Schlüssel zu entsperren. Sobald der Angreifer Zugriff darauf hat, kann er Ihr Geld sofort abziehen.

Jaxx Blockchain Wallet

Bei der Jaxx-Brieftasche war der private Schlüssel besser geschützt. Der Schlüssel wurde einem AES-Algorithmus unterzogen, der eine der sichersten Methoden zum Verschlüsseln von Daten darstellt. Dies wird auch von einer Reihe von US-Regierungsbehörden verwendet, um ihre Nachrichten zu sichern.

Obwohl die Jaxx-Entwickler die privaten Schlüssel ordnungsgemäß verschlüsselt hatten, befand sich die Implementierung des AES-Verschlüsselungsalgorithmus in der Codebasis der Anwendung. Dies bedeutet, dass die verschlüsselten privaten Schlüssel für einen Hacker weiterhin nützlich sein können.

Da der Hacker jetzt weiß, wie man die privaten Schlüssel entschlüsselt, kann er dies problemlos auf einem anderen Gerät tun. Jetzt, da der private Schlüssel effektiv entschlüsselt ist, können sie damit auf Ihre Brieftasche zugreifen und Ihr Geld ablassen.

Dies ist nicht das erste Mal, dass jemand Probleme mit der Jaxx Bitcoin-Brieftasche hervorhebt. Zum Beispiel Forscher bei Techgage haben festgestellt, dass Jaxx Benutzerinformationen im Ordner% APPDATA% speichert. Diese Benutzerinformationen sind alles, was zur erneuten Authentifizierung der Brieftasche erforderlich ist.

Daher, wenn jemand in der Lage war, Zugriff auf Ihren PC sowie die ANWENDUNGSDATEN Ordner dann könnten sie dies einfach auf einem anderen Computer authentifizieren und Ihre Brieftasche erneut öffnen. Mit diesen Benutzerdaten können sie Transaktionen effektiv signieren und Ihr Geld versenden.

Was ist die Cheetah Wallet??

Cheetah Mobile Logo

Bild über wikipedia.org

Angesichts der Tatsache, dass die Forscher bei Cheetah Mobile Wenn man diese Schwachstellen entdecken und an die anderen Entwickler weitergeben könnte, würde man erwarten, dass sie eine großartige Lösung für mobile Geldbörsen haben.

Das Cheetah Mobile Team hat eine umfangreiche veröffentlicht weißes Papier Hier werden die wichtigsten Überlegungen zur Auswahl der richtigen mobilen Geldbörse aufgeführt. Sie haben eine Reihe dieser Best Practices übernommen und in ihr eigenes Unternehmen integriert SafeWallet.

Die SafeWallet verwendet ein „einzigartiges dreistufiges“ Sicherheitsschutzsystem. Sie möchten versuchen, den Benutzer auf drei wichtige Arten zu schützen: Benutzerverhalten, Asset Management und Telefonsicherheit. Die Brieftasche unterstützt derzeit Bitcoin und Ethereum. Weitere Währungsunterstützung ist in Kürze verfügbar.

Interessanterweise enthält die Brieftasche auch einen Algorithmus, mit dem die Transaktionsgebühren optimiert werden. Dies kann für neue Benutzer hilfreich sein, die mit den Bitcoin-Transaktionsgebühren und den Ethereum-Gaspreisen nicht allzu vertraut sind.

Safewallet ist immer noch eine neue Brieftasche, was bedeutet, dass es Zeit braucht, um sich zu beweisen, bevor es zum Aufbewahren größerer Mengen von Münzen verwendet werden kann. Ihre Untersuchung der anderen Sicherheitslücken in weitaus beliebteren Geldbörsen sollte jedoch zu ihren Anmeldeinformationen beitragen.

Ausgewähltes Bild über Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me