Ledger araştırmacıları, kripto anahtar cümlelerinin saniyeler içinde çalınmasına izin veren bir Android işletim sistemi zafiyeti keşfetti.
Birim, yukarıdaki tehdidin gerçek olduğunu kanıtlamak için kavram kanıtı uyguladı.
Gelişme, akıllı telefonların kripto depolama tesisleri olarak hareket etmek için gerekli güvenlik kalkanlarına sahip olmadığını göstermektedir.
Ledger’in Donjon araştırma ekibi, Android telefonlarda yaygın olarak kullanılan MediaTek işlemcilerinde, saldırganların kullanıcıların telefon pinlerini ve kripto anahtar cümlelerini saniyeler içinde çalmasına izin veren güvenlik açıkları tespit etti. Saldırının, cihazlar kapalı bile olsa gerçekleştiği söyleniyor.
Takım, birkaç yazılım (diğer adıyla sıcak) kripto cüzdanına ait hassas bilgileri başarıyla elde ettikleri bir kanıt-mimarisi testi gerçekleştirdi. Mağdurlar Trust Wallet, Kraken Wallet ve Phantom'u içeriyordu.
Android OS'ta kripto hırsızlığı
Ledger donanımlı cüzdan şirketi'nin Baş Teknoloji Sorumlusu Charles Guillemet, bu gelişmeyi “akıllı telefonların güvenlik için tasarlanmadığının bir hatırlatıcısı” olarak nitelendirdi.
Guillemet, ekonomik ve mevcutluk faktörleri nedeniyle küresel kullanımda hakim olan Android telefonlarının milyonlarca cihazı etkileyebilir dedi.
Raporun ardından MediaTek, hatayı düzeltmek için adım attı, Trust Wallet ise kripto adresi manipülasyonunu önleyen yeni bir güvenlik özelliği tanıttı.
Hangi depolama yöntemi güvenlidir?
Ledger ve Trezor gibi donanımsal cüzdanlar, yazılım cüzdanlara kıyasla kripto paralara daha iyi güvenlik sağladığı için ün kazanmıştır. Bunun nedeni, telefonun ana işlemcisinden ayrı çipler kullanmalarıdır.
Yine de, küresel kullanım oranının %78'ini oluşturan sıcak cüzdanlar, maliyet verimliliği ve kolay kullanım nedeniyle kripto sahipleri arasında baskın tercihtir.
Yine de, soğuk cüzdan kullanıcıları, sosyal mühendislik, tedarik zinciri manipülasyonu, fiziksel cihaz çıkarımı ve açıkça dikkatsizlik yoluyla kripto hırsızlığına kurban gitmiştir.
Son örneklerden biri, Güney Kore Vergi Dairesi'nin ele geçirilmiş bir kripto sert cüzdanın anahtar cümlesini yanlışlıkla yayınlamasıdır. Kaba kuvvet veya sert yöntem saldırılarının bir örneği ise Fransız çiftin neredeyse 1 milyon dolarlık bitcoin'lerini çalınmasıdır.
İşletim sistemleri açısından, iOS kullanıcıları da Coruna zafiyeti nedeniyle eski iOS sürümlerinde hassas kripto para bilgilerini toplayan bir tehditle tamamen serbest bırakılmadı.
Bir node çalıştırdığınızda kullanıcı anahtarları hâlâ çalınabilir, bu nedenle çok imzalı cüzdanlar kripto paraları saklamanın en “ateşe dayanıklı” yöntemlerinden biri olabilir.