Аппаратный кошелек криптовалюты Bitfi появился на сцене с помпой и при поддержке технологий. личности Джона Макафи, компания вызвала споры, заявив, что устройство было полностью «невзламываемый».
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Кошелек Bitfi рекламировался как содержащий «крепостную» защиту, которую невозможно «взломать или взломать внешними атаками».
Естественно, сообщество безопасности внесло свой вклад в опровергнуть подобные утверждения. Вскоре мы увидели, как устройство стоимостью 120 долларов стало Игровая консоль Думбыл получен root-доступ, а списки разделов были выложены на GitHub.
Исследователи назвали устройство не более чем «урезанным Android-телефоном», и в ответ на подобные заявления были объявлены два вознаграждения за обнаружение ошибок.
Смотрите также: McAfee: называть Bitfi неуязвимым, возможно, было «неразумно»
Первый коллектив исследователей безопасности назвал «фикцией». THCMKACGASSCO и потребовали от исследователей приобрести устройство для участия. Программа вознаграждений в размере 250 000 долларов была настолько узкой по своему охвату, что ее обоснованность подвергалась сомнению.
Второй предлагал 10 000 долларов за действительные отчеты об ошибках и необходимые эксплойты, которые «должны быть в состоянии передавать секретные ключи или секретную фразу пользователя третьей стороне, продолжая нормально работать с Bitfi. Панель приборов."
Исследователи приступили к работе и публиковали эксплойт за эксплойтом.
Ранее в этом месяцеМакафи сказал, что «возможно, называть Bitfi неуязвимым было бы неразумно». Множество атак и сообщений об уязвимостях вынудили компанию отказаться от своих предыдущих заявлений.
В Твиттере компания опубликовал заявление в котором говорилось, что компания наняла внешнюю помощь в виде «менеджера по безопасности», который «подтверждает уязвимости, выявленные исследователями».
Техреспублика: Осторожно: хакеры пытаются обмануть вашу компанию с помощью этой атаки.
«С этого момента мы удалим из нашего брендинга утверждение «Невозможно взломать», которое вызвало значительное количество споров», — добавили в компании. «Хотя нашим намерением всегда было объединить сообщество и ускорить внедрение цифровых активов во всем мире, мы понимаем, что некоторые из наших действий были контрпродуктивны для этой цели».
vrenture.com/: Биткоин-фанатики хранят пароли своих криптовалют в ДНК
Бифти добавил, что программы вознаграждения за обнаружение ошибок, которые «вызвали понятный гнев и разочарование среди исследователей», теперь немедленно закрыты.
После объявления, Райан Кастеллуччи, член коллектива THCMKACGASSCO, сказал:
«Насколько я могу судить, невозможно решить проблемы безопасности ваших кошельков без отзыва продуктов, отправки их в промышленный измельчитель и начала с нуля. Даже тогда, кто тебе поверит?»
Дэвид Вахтфогель, руководитель отдела безопасности продуктов в Group N Security, добавил, что, если Bitfi серьезно относится к решению проблемы проблемы безопасности, обнаруженные в продукте, Bitfi необходимо «отменить текущее оборудование — оно по своей сути ненадежный."
Время объявления довольно интересно, поскольку оно произошло сразу после того, как 15-летний хакер Салим Рашид, тот самый человек, который взломал Bitfi для игры в Doom, смог взломать систему. для генерации закрытого ключа посредством атаки с холодной загрузкой.
Благодаря этому ключу средства можно получить, но теперь вознаграждения за обнаружение ошибок закрыты, и еще неизвестно, заплатит ли Bitfi.
В любом случае, это урок, который следует усвоить будущим компаниям, стремящимся заработать на проблемах безопасности: ни одно устройство или услуга никогда не должны рекламироваться как неуязвимые.
Есть множество экспертов по безопасности, готовых доказать обратное.
ZDNet связалась с Bitfi и сообщит обновленную информацию, если мы получим ответ.
Предыдущее и связанное освещение
- «Невзламываемый» цирк кошелька Bitfi радует исследователей безопасности проблемой взлома
- Вызов принят: 15-летний подросток играет в Doom на «невзламываемом» Bitfi
- Уязвимость Android «взлом API» приводит к утечке данных устройства и позволяет отслеживать пользователей