Pesquisadores da Ledger descobriram uma vulnerabilidade no sistema operacional Android que permite o roubo de frases semente de criptomoedas em segundos.
A unidade aplicou um protótipo para comprovar que a ameaça acima é real.
O desenvolvimento mostra que os smartphones não possuem os escudos de segurança necessários para atuar como instalações de armazenamento de criptomoedas.
A equipe de pesquisa Donjon da Ledger identificou vulnerabilidades de segurança em processadores MediaTek (comumente usados em telefones Android) que permitem que atores maliciosos roubem os pins dos usuários e suas frases semente de cripto em segundos. Diz-se que o ataque ocorre mesmo quando os dispositivos estão desligados.
A equipe realizou um teste de conceito, no qual obteve com sucesso informações sensíveis relacionadas a várias carteiras de criptomoeda (também conhecidas como carteiras quentes). As vítimas incluíram Trust Wallet, Kraken Wallet e Phantom.
Roubo de criptomoedas no Android OS
Charles Guillemet, o diretor de tecnologia da empresa de carteira de hardware Ledger, observou o desenvolvimento como um “lembrete de que os smartphones não são projetados para segurança.”
Guillemet acrescentou que isso poderia ter afetado “milhões” de telefones Android, já que eles dominam o uso global devido a fatores econômicos e de disponibilidade.
Após o relatório, a MediaTek tomou medidas para corrigir o bug, enquanto a Trust Wallet introduziu um novo recurso de segurança que impede a manipulação de endereços de cripto.
Qual método de armazenamento é seguro?
Carteiras de hardware, como Ledger e Trezor, ganharam reputação por oferecer melhor segurança para criptomoedas em comparação com carteiras de software. Isso ocorre porque utilizam chips separados do processador principal do telefone.
Ainda assim, com 78% de uso global, as carteiras quentes são a escolha dominante entre os detentores de criptomoedas devido à sua eficiência de custo e facilidade de uso.
Mesmo assim, usuários de armazenamento frio se tornaram vítimas de roubo de criptomoedas por meio de engenharia social, manipulação da cadeia de suprimentos, extração física de dispositivos e imprudência flagrante.
Um bom exemplo do último caso é o Serviço de Impostos da Coreia do Sul, que acidentalmente publicou a frase semente de uma carteira de cripto apreendida. Um exemplo de ataques de força bruta ou com chave de fenda é o caso recente do casal francês que foi roubado de quase US$ 1 milhão em bitcoin.
Quanto aos sistemas operacionais, os usuários de iOS não foram totalmente poupados, pois a vulnerabilidade Coruna explora informações sensíveis de criptomoedas em versões mais antigas do iOS.
As chaves do usuário ainda podem ser roubadas ao executar um node, portanto, carteiras multisig podem ser um dos métodos mais “à prova de fogo” para armazenar criptomoedas.