Des chercheurs de Ledger ont découvert une vulnérabilité dans le système d'exploitation Android permettant de voler des phrases secrètes de crypto en quelques secondes.
L'unité a appliqué une preuve de concept pour démontrer que la menace ci-dessus est réelle.
Le développement montre que les smartphones ne possèdent pas les protections de sécurité nécessaires pour servir de supports de stockage de crypto-monnaies.
L'équipe de recherche Donjon de Ledger a identifié des vulnérabilités de sécurité dans les processeurs MediaTek (couramment utilisés sur les téléphones Android) qui permettent à des acteurs malveillants de voler les codes PIN des utilisateurs et leurs phrases secrètes crypto en quelques secondes. L'attaque se produirait même lorsque les appareils sont éteints.
L'équipe a mené un test de concept, au cours duquel elle a obtenu avec succès des informations sensibles concernant plusieurs logiciels (appelés aussi hot) de wallets crypto. Les victimes incluaient Trust Wallet, Kraken Wallet et Phantom.
Vol de crypto sur Android OS
Charles Guillemet, le directeur technique de l'entreprise de wallet matériel Ledger, a qualifié ce développement de « rappel que les smartphones ne sont pas conçus pour la sécurité ».
Guillemet a ajouté que cela aurait pu affecter « des millions » de téléphones Android, car ils dominent l'utilisation mondiale en raison de facteurs économiques et de disponibilité.
Suite au rapport, MediaTek a pris des mesures pour corriger le bug, tandis que Trust Wallet a introduit une nouvelle fonction de sécurité empêchant la falsification d'adresses crypto.
Quelle méthode de stockage est sûre ?
Les portefeuilles matériels, tels que Ledger et Trezor, ont acquis une réputation pour offrir une meilleure sécurité aux cryptomonnaies par rapport aux portefeuilles logiciels. Cela est dû au fait qu'ils utilisent des puces séparées du processeur principal du téléphone.
Malgré tout, à 78 % d'utilisation mondiale, les wallets chauds restent le choix dominant parmi les détenteurs de crypto en raison de leur efficacité coûteuse et de leur facilité d'utilisation.
Même alors, les utilisateurs de stockage à froid ont été victimes de vol de crypto-monnaies par ingénierie sociale, altération de la chaîne d'approvisionnement, extraction physique des appareils et imprudence flagrante.
Un bon exemple de ce dernier cas est le Service des impôts de Corée du Sud, qui a accidentellement publié la phrase secrète d’un portefeuille matériel saisi. Un exemple d’attaque par force brute ou d’attaque à la clé anglaise est le récent cas du couple français qui a été volé de près d’un million de dollars en bitcoin.
En ce qui concerne les systèmes d'exploitation, les utilisateurs d'iOS n'ont pas été entièrement épargnés, la vulnérabilité Coruna exploitant des informations sensibles sur les cryptomonnaies sur les anciennes versions d'iOS.
Les clés utilisateur peuvent encore être volées lors de l'exécution d'un nœud, donc les wallets multisig sont peut-être l'une des méthodes les plus « incendiaires » pour stocker des cryptomonnaies.