На прошлой неделе Джон Макафи анонсировал новый аппаратный Bitcoin-кошелёк Bitfi, который он назвал «невзламываемым». Свою уверенность в надёжности кошелька он выразил запуском кампании по поиску уязвимостей. Тем, кто сможет взломать Bitfi, предлагалось вознаграждение – сначала $100 тыс., а затем оно было увеличено до $250 тыс.
Однако исследователи в сфере информационной безопасности всего за неделю смогли доказать, что кошелёк Bitfi всё же можно взломать. Так, исследователь из Голландии с ником OverSoft заявил, что он смог получить root-доступ к кошельку и воспользоваться обновлённой прошивкой. При этом Bitfi продолжает успешно подключаться к управляющему серверу. Более того, на кошельке не осуществляются какие-либо проверки, чтобы предотвратить такое вмешательство.
Сначала Джон Макафи заявил, что это не считается взломом, так как деньги с устройства никуда не переведены. Но затем после непродолжительного молчания компания Bitfi сделала небольшое заявление в Twitter, в котором косвенно подтвердила уязвимость своего криптовалютного кошелька. Хотя в этом сообщении нет прямого согласия с тем фактом, что OverSoft (или кто-то другой) смог взломать Bitfi, однако глава компании сообщил о запуске второй волны поиска ошибок «чтобы помочь нам выявить потенциальные уязвимости безопасности устройства Bitfi».
Но это ещё не всё. По заверениям исследователей в сфере информационной безопасности, Bitfi вовсе не намеревалась выплачивать заявленное ранее вознаграждение в сумме $250 тыс.
«Это был чистый маркетинг», — заявил OverSoft.
Также следует отметить, что OverSoft смог взломать устройство, не имея физического доступа к нему. Он заявил, что для запуска Bitfi-кошелька совсем не обязательно иметь Bitfi-устройство. В устройстве нет ничего такого, что было бы необходимым для работы приложения Bitfi именно на этом аппаратном обеспечении. В нём нет никаких элементов для обеспечения безопасности. Фактически, Bitfi можно было бы выпустить и через магазин Play Store в качестве отдельного приложения, не требуя покупать аппаратный кошелёк (который продаётся по цене $120 плюс расходы на доставку).
Но это ещё не всё. Другие специалисты в сфере информационной безопасности обнаружили, что аппаратная часть Bitfi является ничем иным, как урезанным смартфоном на базе чипа Mediatek MT6580 (под нож пущены некоторые компоненты, в основном, отвечающие за сотовую связь). Более того, эксперты обнаружили на устройствах стандартные библиотеки MediaTek, примеры предустановленных приложений и даже шпионское ПО, которое собирает информацию о пользователях и передаёт её на серверы Baidu и Adups в Китай.
Источник: thenextweb