Zero
Il Bitfi cryptocurrency hardware portafoglio emerso sulla scena con la fanfara, e sostenuta da tech personalità di John McAfee, azienda provocato polemiche dichiarando che il dispositivo è stato completamente “unhackable.”
Il Bitfi portafoglio è stato pubblicizzato come contenente “fortezza” di sicurezza che non poteva “essere violato o penetrato da attacchi esterni.”
Naturalmente, la comunità di sicurezza ha fatto la sua parte per smentire tali affermazioni. Non era molto prima che abbiamo visto la $120 dispositivo diventare un Doom console di gioco, l’accesso di root è stata acquisita e partizione elenchi erano oggetto di dumping su GitHub.
Ricercatori hanno chiamato il dispositivo di niente di più che un “cut-down telefono Android”, e in risposta a tali affermazioni, due bug bounty sono stati emessi.
Vedi anche: McAfee: Chiamata Bitfi unhackable potrebbe essere stata ‘saggio’
Il primo è stato definito un “sham” da un gruppo di ricercatori di sicurezza chiamato THCMKACGASSCO e richiesto ai ricercatori di acquistare il dispositivo a partecipare. I 250.000 $di ricompensa programma era così limitato che la sua validità è stata messa in discussione.
La seconda offerta di $10.000 per un valido segnalazioni di bug e richieste di exploit che “dovrebbe essere in grado di trasmettere le chiavi private o dell’utente frase segreta per un terzo, mentre ancora funziona normalmente con il Bitfi Cruscotto”.
Ricercatori e pubblicato exploit dopo l’exploit.
All’inizio di questo mese, McAfee ha detto che “magari chiamandola [Bitfi] unhackable stato poco saggio.” Il gran numero di attacchi e vulnerabilità di rapporti è ora costretto l’azienda a fare marcia indietro sulle sue precedenti affermazioni.
Su Twitter, l’azienda ha inviato una dichiarazione che ha detto che la società aveva assunto un aiuto esterno, in forma di “Security Manager”, che è “la conferma di vulnerabilità che sono stati identificati dai ricercatori.”
TechRepublic: Attenzione: gli Hacker stanno cercando di truffa la tua azienda con questo attacco
“Con effetto immediato, ci sarà la rimozione della “Unhackable” pretendiamo dal nostro branding che ha causato una notevole quantità di polemiche,” l’azienda ha aggiunto. “Mentre il nostro intento è sempre stato quello di unire la comunità e accelerare l’adozione di risorse digitali in tutto il mondo, ci rendiamo conto che alcune delle nostre azioni sono state controproducente per l’obiettivo”.
CNET: Bitcoin fanatici sono a memorizzare i loro cryptocurrency password nel DNA
Bifti aggiunto che il bug bounty programmi che hanno “causato comprensibile rabbia e frustrazione tra i ricercatori” sono ormai chiuse con effetto immediato.
Dopo l’annuncio, Ryan Castellucci, un membro del THCMKACGASSCO collettiva, ha detto:
“Per quanto posso dire, non c’è nessun modo per risolvere i problemi di sicurezza con il vostro portafogli senza fare un richiamo di prodotto, gettandoli in un trituratore industriale e partendo da zero. Anche allora, che aveva fiducia in voi?”
David Wachtfogel, capo della Sicurezza del Prodotto, in Gruppo N la Sicurezza, ha aggiunto che se Bitfi era seria su come risolvere i problemi di sicurezza presenti nel prodotto, Bitfi deve “ricordare l’hardware corrente-è intrinsecamente insicuro.”
La tempistica dell’annuncio, è piuttosto interessante, in quanto, dopo 15 anni di hacker Saleem Rashid, la stessa persona che hacked Bitfi per giocare a Doom, è stato in grado di hackerare il sistema per generare la chiave privata attraverso un cold boot attack.
Con questa chiave, i fondi sono disponibili per tutti-ma ora il bug bounty sono stati chiusi, resta da vedere se o non Bitfi pagherà.
È una lezione che dovrebbe essere preso a cuore il futuro le aziende che cercano di incassare i problemi di sicurezza — nessun dispositivo o di un servizio, deve sempre essere commercializzato come unhackable.
Ci sono un sacco di esperti di sicurezza là fuori disposti a dimostrare il contrario.
ZDNet ha raggiunto Bitfi e aggiornerà se sentiamo di ritorno.
Precedente e relativa copertura
‘Unhackable’ Bitfi portafoglio circo piaceri ricercatori di sicurezza con l’hacking sfida Sfida accettata: 15-anno-vecchio gioca a Doom su ‘unhackable’ Bitfi Android API rompere la vulnerabilità di perdite di dati del dispositivo, consente il tracciamento degli utenti
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0