Nul
De Bitfi cryptocurrency portemonnee, aangeprezen als een “niet te breken” systeem, lijkt te zijn gehackt een week na de lancering.
Ondersteund door technologie persoonlijkheid John McAfee, de Bitfi cryptocurrency portemonnee beweert te zijn “fort” de veiligheid en het product is “veiligheid absolute en dat de portefeuille niet kan worden gehackt of gepenetreerd door aanvallen van buitenaf.”
Beschikbaar voor $120, de hardware wordt aangesloten op een online dashboard voor gebruikers om een oogje te houden op hun geld en hun cryptocurrency. Het apparaat en een online platform synchroniseert via een Bitfi ID en wanneer transacties zijn gemaakt, kunnen gebruikers de invoer van een zin voor het genereren van een eigen sleutel.
“Uw private sleutels zijn opgeslagen NOOIT overal behalve uw eigen hersenen, en dit is precies de reden waarom de Bitfi portemonnee is niet te breken,” Bitfi zegt. “De Bitfi wallet is de laatste en definitieve oplossing voor het opslaan van cryptocurrencies en crypto activa.”
De Bitfi portemonnee vorige week gelanceerd en het vet vorderingen aangesloten op het apparaat geduwd McAfee te bieden tot $100.000 voor iedereen die een gevaar kunnen vormen voor de hardware.
Verder te gaan, Bitfi bood een bounty met een beloning van $250.000 voor de echte uitbuitingen en aanvallen — hoewel, de voorwaarden van de bounty zijn vrij ongebruikelijk.
Om deel te kunnen nemen, hebben de onderzoekers om te kopen een Bitfi portemonnee geleverd met munten. Hackers, zonder kennis van de wachtzin, dan moet exfiltrate de munten en de lege portemonnee — maar ze zijn toegestaan gebruik te maken van “alle mogelijke beveiligingslekken.”
“Dit bounty programma is niet bedoeld om te helpen Bitfi te identificeren kwetsbaarheden in de beveiliging omdat we al beweren dat onze veiligheid absoluut is en dat de portefeuille niet kan worden gehackt of gepenetreerd door aanvallen van buitenaf,” het bedrijf zegt. “Eerder dit programma is bedoeld om aan te tonen aan iedereen die zegt of gelooft dat er niets is niet te breken of dat ze kunnen inbreken in het Bitfi portemonnee, dat dergelijke pogingen zijn tevergeefs zijn en dat de geadverteerde claims over de Bitfi portefeuille nauwkeurig zijn.”
De bounty, zelf, is misschien wel gebrekkig als het alleen ophalen van een sleutel van een apparaat dat niet wordt opgeslagen in een toets.
Er zijn veel meer misbruik en de manier te inbreken op een systeem, zoals via backdoors, supply chain security problemen, en het apparaat wijziging dus heeft het archief een sleutel in en stuur het naar een aanvaller op afstand. Pen Test Partners heeft wel de overvloed van een “schijnvertoning.”
Echter, een bounty vraagt nu voor de “potentiële beveiligingsproblemen in de firmware van de codering van de Bitfi apparaat.”
De reward ligt op $10.000 en een aangepast apparaat “moet kunnen overdragen en eigen toetsen of de gebruiker de geheime zin aan een derde, terwijl het nog steeds normaal functioneren met de Bitfi Dashboard.”
Terwijl het lijkt niet dat iemand nog beweerde dat het volledige bedrag van $250.000 bounty-zelfs als de ingewikkelde eisen die het mogelijk maken — security professionals bezig geweest met het ontleden van het apparaat en het binnendringen in andere manieren.
Pen Test Partners begon door te breken Bitfi. De cybersecurity bedrijf zegt dat het apparaat is gebaseerd op een Mediatek MT6580 en is “effectief een cut-down Android-telefoon.”
TechRepublic: De top 5 bedreigingen van de veiligheid die door de ICO projecten
Andrew Tierney, security consultant bij Pen Test Partners, werd vervolgens beschuldigd van het werken voor cryptocurrency portemonnee rivalen zoals Trezor door Bitfi.
Oversoft was er snel bij om te volgen met root-toegang heeft tot het apparaat.
“We hebben van root-toegang, een gepatchte firmware en kan bevestigen dat de BitFi portefeuille nog aansluit gelukkig naar het dashboard,” de onderzoekers gezegd. “Er zijn GEEN controles plaats om te voorkomen dat, zoals beweerd door BitFi.”
Het circus verder.
Verder te gaan, Oversoft zegt het apparaat firmware-die eruit ziet als een normale MTK telefoon” — heeft een aantal verontrustende elementen, met inbegrip van Baidu trackers, de Adups FOTA malware pakket, een tracker en een hele Mediatek bibliotheek van bijvoorbeeld apps.
“Ten minste de Baidu en Adups apps zijn inderdaad actief op het apparaat, met inbegrip van naar huis bellen om te Baidu en Adups,” Oversoft toegevoegd.
“De rest van het systeem/leverancier van partities zijn verwijderd stuurprogramma’ s voor apparaten zoals de camera, tcpdump, adbd en diverse andere binaire bestanden debuggen.”
CNET: Eerste munt van het aanbod, uitgelegd
Een groep onderzoekers bij elkaar gebracht over BitFi ‘ s “niet te breken” beweren, hebben ook geplaatst Bitfi ROM verkoper partitie aanbiedingen en ROM-systeem partitie aanbiedingen op PasteBin.
Ryan Castellicco is geen fan van het apparaat, ofwel, wat suggereert dat Bitfi is niets meer dan een goedkope uitgeklede Android-telefoon.
“Iemand zal waarschijnlijk Doom actief is op vrijdag,” de security-onderzoeker toegevoegd.
Dit trok de ire van McAfee technisch adviseur Rob Loggia, die beweerde in een blog post:
“Het lijkt alsof de auteur wilde oorspronkelijk Bitfi om gebruik hem als een security-onderzoeker voor het product, het openbaren van “kwetsbaarheden” in ruil voor loon. Echter, zijn hardhandige aanpak was niet voldaan met succes. Dus hij woedde.”
Zie ook: de Zuid-koreaanse cryptocurrency exchange hack ziet $40m in altcoin gestolen
De voortdurende drama uitgelokt McAfee, die zei op Twitter:
“Blijf op de hoogte. Morgen ben ik om een definitieve video tegengaan van alle onzin beweert opgezet en gecoördineerd door Bitfi is vastgesteld, monolithische concurrenten in de hardware portefeuille ruimte. Ik zal deze naar bed.”
In reactie daarop gegevens wetenschapper Henry zonder wagen vatte de situatie:
“Dit wordt steeds absurd. Ofwel iets ‘niet te breken’ of het is niet. Duidelijk, zoals blijkt uit de vele malen, de Bifi is het niet. U kan niet repareren. U liet met een bounty. Je letterlijk gehandicapte mensen te hacken. En dat deden ze. Concurrenten of niet, maakt geen verschil.”
De uitdaging van het hacken BitFi werd met enthousiasme, en terwijl het onderzoek heeft niet geleid tot de diefstal van munten via conventionele middelen, de rode vlaggen moet een waarschuwing: ondanks de beweringen van het tegendeel, we zijn nog niet een echt “niet te breken” apparaat op de markt.
Vorige en aanverwante dekking
Een andere hack rotsen cryptocurrency handel: Bancor verliest $13,5 miljoen Hackers stelen van bijna $400 meter van cryptocurrency ICOs Zuid-koreaanse crypto exchange Bithumb gehackt
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0