Группа исследователей китайской компании Cheetah Mobile обнаружила наличие уязвимостей в распространенных криптовалютных кошельках. Это сервисы Bitcoin.com и Jaxx Blockchain.

Стоит отметить, что компания Cheetah Mobile сама является провайдером криптокошелька «SafeWallet». После того, как исследователи обнаружили уязвимости в сервисах конкурентов, администрация связалась с соответствующими провайдерами, оповестив их о наличии проблемы. В Cheetah Mobile сообщают, что они изучали работу Bitcoin.com. В процессе этого было замечено, что пакеты данных мнемонических сид-фаз, которые сервис использует при восстановлении кошелька, хранятся в открытом виде, без использования шифрования. Эта информация находится в обычном текстовом файле, расположенном в директории /data/data/com.bitcoin.mwallet. Таким образом, находясь в операционной системе мобильного устройства, этот файл имеет все признаки локального.

Для получения доступа к функции восстановления кошелька необходим запрос от специального приложения. Это ПО имеет возможность обратиться к корневым файлам, тем самым получая полномочия на данные, локально записанные в память смартфона или планшета. Владея такой информацией, хакеры могут с помощью соответствующего приложения, под любым предлогом предложенного владельцу устройства с кошельком Bitcoin.com, получить доступ к данным, необходимым для восстановления доступа к криптокошельку.

В ситуации с Jaxx Blockchain защита ключей осуществляется посредством наиболее безопасного метода шифрования. Сервис использует алгоритм AES, которым также пользуются американские спецслужбы. Уязвимость заключается в том, что алгоритм выполняется внутри кода приложения. Это дает возможность хакерам воспользоваться уже зашифрованными ключами, поскольку у них будет алгоритм дешифрования, который можно запустить на другом устройстве. После дешифрования с помощью полученного ключа можно будет перехватить доступ к кошельку и похитить средства с него.

Характерно, что это не первый случай обнаружения уязвимости в кошельках Jaxx. Ранее исследователями компании Techgage было отмечено, что данные пользователя сервис хранит в директории APPDATA. Там находилась вся информация, необходимая для прохождения аутентификации. Это позволяло, получив доступ к компьютеру (с помощью программ шпионов и другого вредоносного ПО) извлечь необходимые данные и пройти процесс аутентификации на другом устройстве, открыв кошелек и воспользовавшись имеющимися на нем средствами. В прошлом году пользователями криптокошелька Jaxx в результате хакерских атак было утеряно средств на общую сумму в $400 тысяч.

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

Новости Satoshi.fm

ЛЕНТА АКТИВНОСТИ

Анастасия Попова к записи: Краткий гайд для начинающих в криптовалютном мире

Самый простой способ начать зарабатывать биткойны? Просто поменяй свой браузер н

Artyom Korovkin к записи: Майнинг Zcash [ZEC] прибыльней добычи Bitcoin и Ethereum

"Хорошая прибыль и популярность Zcash у майнеров привели к негативному эффекту,

Алла Зотова к записи: Обмен Bitcoin: лучшие обменники, где можно поменять криптовалюту

Пользуюсь обменником betatransfer тут всегда хорошие курсы, да и меняют быстро.

I-Am Realovich к записи: ChainLink — обзор криптовалюты

Вот и бахнула. Сначала года более чем в 10 раз. Поздравляю с профитом, кто держа

Андрей Асдор к записи: Биржа криптовалют DigiFinex — подробный обзор, отзывы пользователей

держу на этой бирже деньги,пока особо не торговал,сегодня решил зайти через их м

Сергей Фролов к записи: Куда выгодно вложить деньги в 2019 году

Несмотря на обилие предложенных в статье вариантов (мне больше всего понравились

Айрат Бектемиров к записи: Прогноз Эфириума на 2018 год

Прогноз курса ethereum на июнь-июль 2019

obmanka99 к записи: Лучшие обменники криптовалют онлайн 2019 года

У всех обменников представленных тут одна минус это высокий процент который они

Андрей Минаев к записи: Раздачи криптовалюты в декабре: Pundi X, Substratum и другие

Хорошие сделки!

Ирина Роднянская к записи: Вывод биткоинов с blockchain, как использовать блокчейн кошелек

Из того, что я прочитал, пользуюсь betatransfer, нравится, что у них хорошие кур

Telegram 1
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
*

Личный кабинет

Войти с помощью: 
  Я ознакомлен и согласен с условиями и правилами форума.
  Я ознакомлен и согласен с политикой конфиденциальности.
Генерация пароля