Исследователи Ledger обнаружили уязвимость в Android OS, позволяющую украсть seed-фразы криптовалют за секунды.
Подразделение применило доказательство концепции, чтобы подтвердить, что вышеуказанная угроза реальна.
Разработка показывает, что смартфоны не обладают необходимыми средствами защиты для использования в качестве хранилищ криптовалют.
Группа исследователей Donjon от Ledger обнаружила уязвимости в процессорах MediaTek (широко используемых на Android-телефонах), позволяющие злоумышленникам за секунды украсть пин-коды пользователей и их seed-фразы. Атака, как утверждается, может происходить даже при выключенном устройстве.
Команда провела тест концепции, в ходе которого им удалось получить конфиденциальную информацию, связанную с несколькими программными (так называемыми горячими) криптовалютными кошельками. Жертвами стали Trust Wallet, Kraken Wallet и Phantom.
Криптоворовство на Android
Шарль Гильеме, главный технолог компании Ledger по производству аппаратных кошельков, отметил это развитие как «напоминание о том, что смартфоны не предназначены для обеспечения безопасности».
Гийоме добавил, что это могло повлиять на «миллионы» телефонов Android, поскольку они доминируют на глобальном рынке из-за экономических и доступностных факторов.
После отчета MediaTek предприняла действия для устранения ошибки, а Trust Wallet внедрила новую функцию безопасности, предотвращающую подмену криптовалютных адресов.
Какой метод хранения безопасен?
Аппаратные кошельки, такие как Ledger и Trezor, завоевали репутацию благодаря более высокой безопасности криптовалют по сравнению с программными кошельками. Это связано с тем, что они используют чипы, отдельные от основного процессора телефона.
Тем не менее, при глобальном использовании в 78% горячие кошельки остаются доминирующим выбором среди держателей криптовалют благодаря своей экономичности и простоте в использовании.
Даже тогда пользователи холодного хранения стали жертвами криптовалютных краж через социальную инженерию, вмешательство в цепочку поставок, физическое извлечение устройств и откровенную безрассудность.
Хорошим примером последнего является Налоговая служба Южной Кореи, которая по ошибке опубликовала seed-фразу к изъятому крипто-жесткому кошельку. Примером атак методом перебора или «грубой силы» является недавний случай с французской парой, у которой украли почти 1 миллион долларов в bitcoin.
Что касается операционных систем, пользователи iOS также не были полностью защищены: уязвимость Coruna добывается чувствительная информация о криптовалюте на более старых версиях iOS.
Ключи пользователя все еще могут быть украдены при запуске ноды, поэтому, возможно, мультиподписные кошельки являются одним из самых «огнестойких» способов хранения криптовалют.