Các nhà nghiên cứu của Ledger đã phát hiện ra lỗ hổng trên hệ điều hành Android cho phép đánh cắp cụm từ hạt giống tiền điện tử trong vài giây.
Đơn vị đã áp dụng bằng chứng khái niệm để chứng minh mối đe dọa trên là có thật.
Sự phát triển này cho thấy điện thoại thông minh không có các lớp bảo mật cần thiết để hoạt động như các thiết bị lưu trữ tiền điện tử.
Đội nghiên cứu Donjon của Ledger đã phát hiện các lỗ hổng bảo mật trong các bộ xử lý MediaTek (thường được sử dụng trên điện thoại Android) cho phép các tác nhân độc hại đánh cắp mã PIN điện thoại và cụm từ hạt giống tiền điện tử của người dùng trong vài giây. Cuộc tấn công được cho là có thể xảy ra ngay cả khi thiết bị đã tắt.
Đội ngũ đã thực hiện kiểm tra chứng minh khái niệm, trong đó họ thành công trong việc thu thập thông tin nhạy cảm liên quan đến một số ví tiền điện tử (còn gọi là ví nóng). Các nạn nhân bao gồm Trust Wallet, Kraken Wallet và Phantom.
Ăn cắp tiền điện tử trên hệ điều hành Android
Charles Guillemet, Giám đốc Công nghệ của công ty ví phần cứng Ledger, nhận xét rằng sự phát triển này là “lời nhắc nhở rằng điện thoại thông minh không được thiết kế để đảm bảo bảo mật.”
Guillemet cho biết điều này có thể đã ảnh hưởng đến “hàng triệu” điện thoại Android, do chúng chiếm ưu thế toàn cầu vì các yếu tố kinh tế và khả năng tiếp cận.
Sau báo cáo, MediaTek đã hành động để sửa lỗi, trong khi Trust Wallet đã giới thiệu một tính năng bảo mật mới ngăn chặn việc can thiệp vào địa chỉ tiền điện tử.
Phương pháp lưu trữ nào là an toàn?
Các ví phần cứng, chẳng hạn như Ledger và Trezor, đã xây dựng được danh tiếng về việc cung cấp mức độ bảo mật cao hơn cho các loại tiền điện tử so với ví phần mềm. Điều này là do chúng sử dụng các chip tách biệt với bộ xử lý chính của điện thoại.
Tuy nhiên, với 78% mức độ sử dụng toàn cầu, các ví nóng vẫn là lựa chọn phổ biến nhất trong số những người nắm giữ tiền điện tử do hiệu quả chi phí và tính dễ sử dụng.
Ngay cả khi đó, người dùng ví lưu trữ lạnh cũng đã trở thành nạn nhân của các vụ trộm tiền mã hóa thông qua kỹ thuật xã hội, can thiệp chuỗi cung ứng, trích xuất thiết bị vật lý và sự bất cẩn rõ rệt.
Một ví dụ tốt về trường hợp sau là Dịch vụ Thuế Hàn Quốc, vô tình đăng tải cụm từ hạt giống của một ví cứng tiền điện tử bị tịch thu. Một ví dụ về các cuộc tấn công bằng lực lượng thô hoặc bạo lực là vụ việc gần đây của cặp đôi người Pháp bị cướp gần 1 triệu USD bitcoin.
Đối với các hệ điều hành, người dùng iOS chưa được hoàn toàn miễn trừ, khi lỗ hổng Coruna khai thác thông tin tiền điện tử nhạy cảm trên các phiên bản iOS cũ hơn.
Chìa khóa người dùng vẫn có thể bị đánh cắp khi chạy một nút mạng, vì vậy các ví đa chữ ký có thể là một trong những phương pháp lưu trữ tiền điện tử “chống cháy” nhất.