Ledgerの研究者たちは、Android OSの脆弱性を発見し、これにより数秒で暗号通貨のシードフレーズが盗まれる可能性があることを明らかにしました。
そのユニットは、上記の脅威が現実であることを証明するために概念実証を適用しました。
この開発は、スマートフォンが暗号通貨の保管施設として必要なセキュリティ盾を備えていないことを示しています。
LedgerのDonjon研究チームは、Androidスマホで広く使用されているMediaTekプロセッサにセキュリティ脆弱性を発見しました。この脆弱性により、悪意のある攻撃者がユーザーの電話のPINコードと暗号通貨のシードフレーズを数秒で盗むことが可能になります。この攻撃は、デバイスが電源オフ状態でも発生する可能性があるとされています。
チームは概念実証テストを実施し、複数のソフトウェア(いわゆるホット)暗号ウォレットに関連する機密情報を成功裏に取得しました。被害者にはTrust Wallet、Kraken Wallet、Phantomが含まれます。
Android OSでの暗号資産の盗難
Ledgerハードウェールウォレット社の最高技術責任者であるシャルル・ギルメは、この開発を「スマートフォンはセキュリティのために設計されていない」という提醒と評した。
ギルメは、経済的要因と可用性の点でAndroid端末が世界の使用を支配しているため、数百万台のAndroid端末に影響を与えた可能性があると述べました。
報告後、MediaTekはバグを修正するために行動を起こし、Trust Walletは暗号通貨アドレスの改ざんを防ぐ新しいセキュリティ機能を導入しました。
どの保管方法が安全ですか?
LedgerやTrezorなどのハードウェアウォレットは、ソフトウェアウォレットと比較して暗号通貨のセキュリティをより高めると評価されています。これは、スマートフォンのメインプロセッサとは分離されたチップを活用しているためです。
しかし、78%のグローバル使用率で、ホットウォレットはコスト効率と使いやすさから、暗号資産保有者に最も広く選ばれています。
それでも、コールドストレージのユーザーは、ソーシャルエンジニアリング、サプライチェーンの改ざん、物理的デバイスの抽出、そして明らかな不注意によって暗号資産の盗難に遭っています。
後者の良い例は、韓国税務庁が押収した暗号資産ハードウォレットのシードフレーズを誤って投稿した事例です。ブルートフォース攻撃またはレンチ攻撃の例としては、フランスのカップルがBitcoinで約100万ドルを強奪された最近の事例があります。
オペレーティングシステムに関しては、iOSユーザーも完全には免れておらず、Corunaの脆弱性により、古いiOSバージョンで機密な仮想通貨情報が収集されています。
ノードを実行している際もユーザーのキーは盗まれる可能性があるため、マルチシグウォレットは暗号資産を保管する最も「火災に強い」方法の一つかもしれません。