Уязвимости на портфейла Jaxx и Bitcoin.com, открити от изследователите

Китайска компания, наречена Cheetah Mobile, разполага с блокчейн изследователска група, която успя да намери уязвимост в два популярни портфейла за криптовалута.

Въпросните портфейли са портфейлът Bitcoin.com и Jaxx Blockchain. Cheetah mobile се обърна към разработчиците на портфейла, за да ги уведоми за уязвимостта. Това съвпадна и с пускането на собствения Bitcoin портфейл на Cheetah, който се нарича „SafeWallet“.

Ако разкриването наистина е вярно, това трябва да е било доста сериозна уязвимост. Тези портфейли несъмнено са едни от най-популярните на пазара и се използват от милиони потребители в световен мащаб.

И така, каква точно беше уязвимостта и с какъв риск беше?

Портфейл Bitcoin.com

В случая с портфейла Bitcoin.com, мнемоничните фрази за семена не са били криптирани преди да бъдат съхранени. Те бяха съхранени като обикновена текстова версия в следната директория “/data/data/com.bitcoin.mwallet”. Този файл съществува в операционната система на телефона и следователно е локален.

За да получите достъп до тази начална фраза, всичко, което би било необходимо, е, че някое злонамерено приложение може да се опита да получи „root достъп“. Това означава, че те ще имат привилегирован достъп до голяма част от файловете на телефона.

Следователно всичко, което нападателят трябва да знае, е, че някой е редовен потребител на Bitcoin и че техният портфейл по избор е Bitcoin.com. Те биха могли да ги накарат да инсталират злонамереното приложение, което ще даде достъп на хакерския корен и по този начин ще може да получи началните думи.

Търгувайте с IQ Option Cryptocurrencies сега

За тези, които не знаят как работят портфейлите за криптовалута, тези начални думи се използват за отключване на вашите лични ключове. След като нападателят има достъп до това, той може да изсмуче вашите средства в един сърдечен ритъм.

Jaxx Blockchain Wallet

В случая с портфейла Jaxx частният ключ беше по-добре защитен. Ключът е поставен чрез алгоритъм AES, който е един от най-сигурните методи за криптиране на данни. Това се използва и от редица правителствени агенции на САЩ, за да защити своите съобщения.

Въпреки това, въпреки че разработчиците на Jaxx са правилно кодирали частните ключове, внедряването на алгоритъма за криптиране AES е в основата на кода на приложението. Това означава, че криптираните частни ключове все още могат да бъдат полезни за хакер.

Като се има предвид, че хакерът вече знае как да дешифрира частните ключове, те лесно могат да го направят на друго устройство. Сега с частен ключ, ефективно дешифриран, те могат да го използват за достъп до портфейла ви и източване на вашите средства.

Това не е първият път, когато някой подчертава проблеми с портфейла Jaxx Bitcoin. Например изследователи от Techgage са установили, че Jaxx съхранява потребителска информация в папката% APPDATA%. Тази потребителска информация е всичко, което е необходимо за повторно удостоверяване на портфейла.


Следователно, ако някой е успял да получи достъп до вашия компютър, както и до APPDATA папка, след това те биха могли просто да удостоверят това на друг компютър и да отворят отново портфейла ви. С тези потребителски данни те могат ефективно да подписват транзакции и да изпращат вашите средства.

Какво е портфейлът на гепардите?

Cheetah Mobile Logo

Изображение чрез wikipedia.org

Като се има предвид, че изследователите от Cheetah Mobile са успели да открият тези уязвимости, както и да ги разкрият на останалите разработчици, би се очаквало да имат страхотно решение за мобилен портфейл.

Екипът на Cheetah Mobile пусна обширен Бяла хартия където те детайлизират най-важните съображения за избора на подходящия мобилен портфейл. Те взеха редица от тези най-добри практики и ги включиха в собствената си собственост SafeWallet.

SafeWallet използва „уникалната тристепенна“ система за защита на сигурността. Те искат да опитат и защитят потребителя по три ключови начина, които включват поведение на потребителя, управление на активи и сигурност на телефона. Понастоящем портфейлът поддържа Bitcoin и Ethereum с по-нататъшна поддръжка на валута скоро.

Интересното е, че портфейлът ще включва и алгоритъм, който ще оптимизира таксите за транзакции. Това може да бъде полезно за тези нови потребители, които не са твърде запознати с таксите за транзакции с биткойн и цените на природния газ на Ethereum.

Safewallet е все още нов портфейл, което означава, че се нуждае от време, за да се докаже, преди да може да се използва за съхранение на по-големи количества монети. И все пак тяхното проучване на другите уязвимости в далеч по-популярните портфейли трябва да добави към техните пълномощия.

Представено изображение чрез Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me