פגיעויות ארנק של Jaxx ו- Bitcoin.com שהתגלו על ידי חוקרים

לחברה סינית בשם Cheetah Mobile יש זרוע מחקר של בלוקצ’יין שהצליחה למצוא פגיעות בשני ארנקים פופולריים של Cryptocurrency..

הארנקים המדוברים הם ארנק Bitcoin.com ו- Jaxx Blockchain. צ’יטה מובייל הגיעה למפתחי הארנק כדי להודיע ​​להם על הפגיעות. זה במקביל לשחרור ארנק הביטקוין עצמו של צ’יטה שנקרא “SafeWallet”.

אם הגילוי אכן נכון, זו ודאי הייתה פגיעות רצינית למדי. ארנקים אלה הם ללא ספק חלק מהפופולריים ביותר בשוק ומשמשים מיליוני משתמשים ברחבי העולם.

אז מה בדיוק הייתה הפגיעות ובכמה סיכון היית?

ארנק Bitcoin.com

במקרה של הארנק של Bitcoin.com, ביטויי הזרעים המנומניים לא הוצפנו לפני שנשמרו. הם נשמרו כגרסת טקסט רגיל בספריה הבאה “/data/data/com.bitcoin.mwallet”. קובץ זה קיים במערכת ההפעלה של הטלפון ומכאן שהוא מקומי.

על מנת לקבל גישה לביטוי זרע זה, כל מה שנדרש הוא שיישום זדוני כלשהו יכול לנסות להשיג “גישה לשורש”. משמעות הדבר היא כי תהיה להם גישה מיוחדת לחלק גדול מהקבצים של הטלפון.

לפיכך, כל מה שהתוקף יצטרך לדעת הוא שמישהו הוא משתמש ביטקוין רגיל ושהארנק שבחרתם הוא ה- Bitcoin.com. הם יכולים לגרום להם להתקין את היישום הזדוני אשר ייתן להאקר גישה לשורש ובכך יוכל להשיג את מילות הזרע.

סחר במטבעות מטבעות אופציה של IQ כעת

למי שלא יודע כיצד פועלים ארנקי מטבעות קריפטוגרפיים, מילות הזרע הללו משמשות לפתיחת המפתחות הפרטיים שלך. ברגע שלתוקף יש גישה לכך הם יכולים לשאוב את הכספים שלך בדופק.

ארנק Jaxx Blockchain

במקרה של ארנק Jaxx, המפתח הפרטי היה מוגן יותר. המפתח הוכנס באמצעות אלגוריתם AES המהווה את אחת השיטות המאובטחות ביותר להצפנת נתונים. זה משמש גם מספר סוכנויות ממשלתיות בארה”ב כדי לאבטח את המסרים שלהם.

עם זאת, למרות שמפתחי Jaxx הצפינו כראוי את המפתחות הפרטיים, היישום של אלגוריתם ההצפנה AES היה בבסיס הקוד של היישום. המשמעות היא שהמפתחות הפרטיים המוצפנים עדיין יכולים להיות שימושיים עבור האקר.

בהתחשב בכך שההאקר יודע כעת לפענח את המפתחות הפרטיים, הם יכולים לעשות זאת בקלות במכשיר אחר. כעת, כאשר המפתח הפרטי מפוענח ביעילות, הם יכולים להשתמש בו כדי לגשת לארנק שלך ולנקז את כספיך.

זו לא הפעם הראשונה שמישהו מדגיש בעיות בארנק הביטחון של Jaxx. לדוגמא, חוקרים ב מטען גילו כי Jaxx שומרת פרטי משתמש בתיקיה% APPDATA%. מידע משתמש זה הוא כל הנדרש על מנת לאמת מחדש את הארנק.


לכן, אם מישהו היה מסוגל לקבל גישה למחשב האישי שלך כמו גם ל- APPDATA התיקייה ואז הם יכולים פשוט לאמת את זה במחשב אחר ולפתוח מחדש את הארנק שלך. בעזרת נתוני משתמשים אלה, הם יכולים לחתום ביעילות על עסקאות ולשלוח את הכספים שלך.

מהו ארנק הצ’יטה?

לוגו צ'יטה לנייד

תמונה באמצעות wikipedia.org

בהתחשב בכך שהחוקרים ב- צ’יטה מובייל הצליחו לגלות את הפגיעות האלה ולחשוף אותה בפני שאר המפתחים, אפשר היה לצפות שיהיה להם פתרון מעולה לארנק סלולרי.

צוות צ’יטה מובייל פרסם נרחב נייר לבן שם הם מפרטים את השיקולים החשובים ביותר לבחירת הארנק הנייד המתאים. הם לקחו מספר שיטות עבודה מומלצות אלה ושילבו אותם בבעלותם SafeWallet.

ה- SafeWallet עושה שימוש במערכת הגנה ביטחונית “ייחודית בת שלוש שכבות”. הם רוצים לנסות ולהגן על המשתמש בשלוש דרכים מרכזיות הכוללות התנהגות משתמש, ניהול נכסים ואבטחת טלפון. הארנק תומך כיום בביטקוין ובאת’ריום עם תמיכה נוספת במטבע בדרך בקרוב.

מעניין שהארנק יכלול גם אלגוריתם שייעל את דמי העסקה. זה יכול להיות מועיל למשתמשים חדשים שאינם מכירים יותר מדי את עמלות העסקה של ביטקוין ותמחור הגז של Ethereum.

Safewallet הוא עדיין ארנק חדש, מה שאומר שהוא צריך זמן להוכיח את עצמו לפני שהוא יכול לשמש לאחסון כמויות גדולות יותר של מטבעות. עם זאת, המחקר שלהם לגבי נקודות התורפה האחרות בארנקים פופולאריים בהרבה אמור להוסיף לתעודותיהם.

תמונה מוצגת באמצעות Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me