Дослідники Ledger виявили вразливість у Android OS, яка дозволяє вкрасти seed-фрази криптовалют за кілька секунд.
Одиниця застосувала доказ концепції, щоб підтвердити, що вищевказаною загрозі є реальністю.
Розробка показує, що смартфони не мають необхідних захисних засобів для використання як засоби зберігання криптовалют.
Дослідницька команда Ledger Donjon виявила безпекові вразливості в процесорах MediaTek (які широко використовуються на телефонах Android), які дозволяють зловмисникам протягом кількох секунд викрасти пін-коди користувачів та їх seed-фрази. Атака, як стверджується, може відбуватися навіть тоді, коли пристрої вимкнені.
Команда провела тест концепції, під час якого їм вдалося отримати конфіденційну інформацію, що стосується кількох програмних (так званих гарячих) криптовалютних гаманців. Серед постраждалих — Trust Wallet, Kraken Wallet та Phantom.
Криптовідхилення на Android OS
Шарль Гільме, головний технічний офіцер компанії Ledger з виробництва апаратних гаманців, зазначив цей розвиток як «нагадування про те, що смартфони не створені для безпеки».
Гільєме додав, що це могло вплинути на «мільйони» телефонів Android, оскільки вони домінують у світовому використанні через економічні та доступнісні фактори.
Після звіту MediaTek вжила заходів для виправлення помилки, а Trust Wallet впровадила нову функцію безпеки, що запобігає підміні криптоадрес.
Який спосіб зберігання безпечний?
Апаратні гаманці, такі як Ledger і Trezor, здобули репутацію щодо забезпечення кращої безпеки криптовалют порівняно з програмними гаманцями. Це пов’язано з тим, що вони використовують чіпи, які відокремлені від основного процесора телефону.
Тим не менш, з урахуванням 78% глобального використання, гарячі гаманці є найпопулярнішим вибором серед власників криптовалют завдяки їхньої економічній ефективності та простоті використання.
Навіть тоді користувачі холодного сховища стали жертвами криптовалютних крадіжок через соціальну інженерію, підміну ланцюга постачання, фізичне вилучення пристроїв та відверту необережність.
Добрым прикладом другого є Служба податків Південної Кореї, яка випадково опублікувала seed-фразу до арештованого крипто-жорсткого гаманця. Прикладом атаки методом підбору або «гайкового ключа» є недавній випадок з французькою парою, які були ограбовані майже на мільйон доларів США в bitcoin.
Щодо операційних систем, користувачі iOS не були повністю захищені: через вразливість Coruna збирається чутлива інформація про криптовалюту на старіших версіях iOS.
Ключі користувача все ще можуть бути вкрадені під час запуску ноди, тому мультипідписні гаманці можуть бути одним із найбільш «вогнестійких» методів зберігання криптовалют.