Nakatuklas ang mga researcher ng Ledger ng isang vulnerability sa Android OS na nagpapahintulot sa pagkakawala ng crypto seed phrase sa ilang segundo.
Ginamit ng unit ang proof-of-concept upang patunayan na totoo ang nabanggit na banta.
Ipapakita ng pag-unlad na ang mga smartphone ay hindi nagtataglay ng mga panlaban sa seguridad na kailangan upang maging mga facility para sa pag-iimbak ng crypto.
Ang siyentipikong pangkat na Donjon ng Ledger ay nakakita ng mga butas sa kaligtasan sa mga processor ng MediaTek (karaniwang ginagamit sa mga Android phone) na nagpapahintulot sa mga masasamang aktor na makuha ang mga PIN ng telepono at ang mga seed phrase ng user sa loob ng ilang segundo. Sinasabing mangyayari ang pag-atake kahit na nagsara na ang mga device.
Ginawa ng koponan ang isang pagsubok ng konsepto, kung saan matagumpay nilang kinuha ang sensitibong impormasyon na may kaugnayan sa ilang software (kaugnay na hot) crypto wallet. Ang mga biktima ay kasama ang Trust Wallet, Kraken Wallet, at Phantom.
Pagnanakaw ng cryptocurrency sa Android OS
Si Charles Guillemet, ang Chief Technology Officer sa Ledger hardware wallet company, ay nagtala ng pag-unlad bilang “paalala na ang mga smartphone ay hindi nilikha para sa seguridad.”
Dagdag ni Guillemet na maaaring nakaaapekto sa “milyon-milyon” ng Android phones, dahil dominyuhan nila ang pandaigdigang paggamit dahil sa mga salik tulad ng ekonomiya at availability.
Pagkatapos ng ulat, gumawa ng aksyon ang MediaTek upang ayusin ang bug, habang ipinakilala ng Trust Wallet ang isang bagong tampok sa seguridad na nagpapigil sa pagbabago ng crypto address.
Ano ang ligtas na paraan ng pag-iimbak?
Ang mga hardware wallet, tulad ng Ledger at Trezor, ay nakakapagpataas ng reputasyon dahil sa mas magandang seguridad para sa mga cryptocurrency kumpara sa software wallet. Ito ay dahil ginagamit nila ang mga chip na hiwalay sa pangunahing processor ng telepono.
Gayunpaman, sa 78% na global na paggamit, ang hot wallets ang pangunahing pagpili ng mga holder ng crypto dahil sa kanilang cost efficiency at kadaliang gamitin.
Kahit ganun, ang mga gumagamit ng cold storage ay naging biktima ng pagkakawala ng crypto sa pamamagitan ng social engineering, pagbabago sa supply chain, pagkuha ng physical device, at malinaw na pagiging recklessly.
Isang mabuting halimbawa ng huli ay ang South Korean Tax Service, na nagsagawa ng pagpapalabas ng seed phrase ng isang nasamsam na crypto hard wallet. Isang halimbawa ng brute force o wrench attacks ay ang bagong kaso ng isang French couple na tinapay ng halos $1 milyon sa Bitcoin.
Tungkol sa mga operating system, hindi ganap na naligtas ang mga user ng iOS, dahil sa vulnerability na Coruna na naghahanap ng sensitibong cryptocurrency information sa mga mas lumang bersyon ng iOS.
Maaari pa ring mawalan ng mga user key kapag nagpapatakbo ng node, kaya ang mga multisig wallet ay isa sa mga pinakamalakas na paraan ng pag-iingat ng mga cryptocurrency.