Noll
Den Bitfi cryptocurrency plånbok, tippad som en “unhackable” system, verkar ha blivit hackad en vecka efter lanseringen.
Stöd av teknik personlighet John McAfee, Bitfi cryptocurrency plånbok anspråk på att ha “fästning-liknande” säkerhet och produkten är “säkerhet är absolut och att plånboken inte hackad eller penetreras av attacker utifrån.”
Tillgänglig för $120, den hårdvara som ansluts till en online dashboard för användare att hålla koll på sina fonder och få tillgång till deras cryptocurrency. Enheten och online-plattform sync via en Bitfi-ID och när transaktioner görs, användare in en fras om du vill skapa en privat nyckel.
“Din privata nycklar är ALDRIG lagras var som helst utom din egen hjärna, och det är just därför som Bitfi plånbok är unhackable,” Bitfi säger. “Bitfi plånbok är den sista och ultimata lösningen för att lagra cryptocurrencies och crypto tillgångar.”
Den Bitfi plånbok som lanserades förra veckan och djärva påståenden som är ansluten till enheten trycks McAfee erbjuder upp till $100,000 för vem som helst som kunde äventyra hårdvara.
Går vidare, Bitfi sedan erbjöd en belöning med en belöning på 250 000 dollar till den verkliga bedrifter och attacker — även om villkoren för bounty är något ovanligt.
För att delta, har forskare för att köpa en Bitfi plånboken laddad med mynt. Hackare, utan kunskap om de lösenordsfras, för då måste exfiltrate mynt och tömma plånboken-men de är tillåtna att använda “alla möjliga angreppsvägar.”
“Denna bounty programmet är inte avsett att hjälpa Bitfi att identifiera säkerhetsproblem eftersom vi redan hävdar att vår säkerhet är absolut och att plånboken inte hackad eller penetreras av attacker utifrån,” bolaget säger. “Snarare detta program är avsett att visa att någon som påstår eller tror att ingenting är unhackable eller att de kan hacka sig in i Bitfi plånbok, att sådana försök är meningslösa och att det angivna påståenden om Bitfi plånboken är korrekt.”
Bounty, sig själv, är förmodligen brister när det bara har att hämta en nyckel från en enhet som inte lagra en nyckel.
Det är långt mer angreppsvinklar och sätt att kompromettera ett system, till exempel genom bakdörrar, supply chain security problem, och enheten ändras så att det lagrar en nyckel och skickar det till en angripare på distans. Penna Test Partners har dubbade bounty en “bluff.”
Men en andra bounty frågar nu för “potentiella säkerhetsproblem i den inbyggda kryptering av Bitfi enhet.”
Belöningen på erbjudandet är $10.000 och en modifierad enhet “bör kunna överföra antingen privata nycklar eller användarens hemlig fras till en tredje part medan du fortfarande fungerar normalt med de Bitfi Instrumentpanelen.”
Även om det inte visas att någon har ännu hävdade hela $250,000 bounty-även om det invecklade krav gör det möjligt — security professionals har varit upptagen med att dissekera enheten och hacka på andra sätt.
Penna Test Partner började med att bryta ner Bitfi. It-företaget säger att enheten är baserad på ett Mediatek MT6580 och är “ett effektivt skära ner Android-telefon.”
TechRepublic: top-5 och de hot mot säkerheten som ICO-projekt
Andrew Tierney, säkerhetskonsult på Pen-Test Partner, var då anklagas för att arbeta för cryptocurrency plånbok konkurrenter som Trezor av Bitfi.
Oversoft var snabb att följa med root-åtkomst till enheten.
“Vi har root-access, en patchad firmware och kan bekräfta BitFi plånbok fortfarande ansluta glatt till instrumentbrädan,” forskarna säger. “Det finns INGA kontroller på plats för att förhindra att det som påstås av BitFi.”
Cirkusen fortsätter.
Går vidare, Oversoft säger enhetens firmware — som “ser ut som en vanlig MTK telefon” – har ett antal besvärande faktorer, inklusive Baidu trackers, Adups FOTA malware suite, en tracker, och en hel Mediatek bibliotek av exempel appar.
“Minst Baidu och Adups apps är faktiskt aktivt körs på enheten, inklusive ringer hem för att Baidu och Adups,” Oversoft läggas till.
“Resten av systemet/leverantör partitioner inkludera drivrutiner för bort enheter som kameran, tcpdump, adbd och flera andra felsökning binärer.”
CNET: Första myntet erbjudanden, förklarade
En grupp av forskare som samlade över BitFi “unhackable” hävdar, har också publicerat Bitfi ROM säljaren partition listor och ROM systempartitionen listor på PasteBin.
Ryan Castellicco är inget fan av enheten, antingen, vilket tyder på att Bitfi är inget mer än en billig avskalad Android-telefon.
“Någon kommer förmodligen ha Doom kör på det senast på fredag,” säkerhet forskaren lagt till.
Detta drog ire av McAfee teknisk rådgivare Rob Loggia, som hävdade att i ett blogginlägg:
“Det verkar som om författaren ville ursprungligen Bitfi att anställa honom som en säkerhet forskare för produkten, avslöjar “sårbarhet” i avkastning för att betala. Men hans hårdhänta strategi var inte rönt framgång. Så han rasade.”
Se även: sydkoreanska cryptocurrency utbyte hacka ser $40 i altcoin stulen
Den pågående drama provocerade McAfee, som sa på Twitter:
“Håll ögonen öppna. I morgon är jag att sätta ut en slutgiltig video motverka alla dumheter fordringar igång och co-samordnas av Bitfi etablerade, monolitisk konkurrenter i hårdvara plånbok utrymme. Jag kommer att lägga detta till sängs.”
I svar, data scientist Henry Carless sammanfattade situationen:
“Detta blir absurt. Antingen något “unhackable” eller det är det inte. Tydligt, vilket framgår många gånger över, Bifi är det inte. Du kan inte fixa detta. Du anstiftat det med en belöning. Du bokstavligen utmanade människor att hacka den. Och det gjorde de. Konkurrenter eller inte, gör ingen skillnad.”
Utmaningen för dataintrång BitFi togs upp med entusiasm, och medan forskningen har inte lett till stöld av mynt genom konventionella metoder, de röda flaggorna bör erbjuda en varning: trots påståenden om motsatsen, vi är ännu inte se ett riktigt “unhackable” enheten slå marknaden.
Tidigare och relaterade täckning
En annan hacka stenar cryptocurrency handel: Bancor förlorar $13,5 miljoner Hackare stjäl nästan $400 m från cryptocurrency ICOs sydkoreanska crypto utbyte Bithumb hackad
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0