På webbplatsen tillhörande hårdvaruplånboken Bitfi är det svårt att undgå följande ord från bolagets styrelseordförande John McAfee: “Världens första ej hackbara lagring för kryptovaluta och digitala tillgångar.” Ännu en gång har dock hårdvaruplånbokens säkerhet blivit allvarligt kompromitterad. Den senaste incidenten är enligt Hard Fork ett fall där säkerhetsforskare på Pen Test Partners lyckats skicka signerade transaktioner via Bitfi och därmed uppfyllt ett viktigt krav för hårdvaruplånbokens hittelönsprogram.
Jämfört med Bitfis initiala hittelön värd 250 000 dollar var den andra hittelönen relativt blygsamma 10 000 dollar. För att få den andra hittelönen behövde man bland annat modifiera hårdvaruplånbokens firmware och därefter koppla upp sig mot dess kontrollpanel. Det slutgiltiga villkoret att uppfyllas inkluderar att man säkerställer att den den hemliga frasen tillhörande användaren eller dennes privata nycklar överförs till en tredje part samtidigt som plånbokens kontrollpanel fortsätter att fungera som normalt.
Enligt Andrew Tierney, säkerhetskonsult på Pen Test Partners, lyckades teamet av säkerhetsforskare signifikant modifiera enhetens firmware och snappa upp kommunikationen mellan hårdvaruenheten och plånboken. Och för att bevisa att enheten fortfarande var ansluten till kontrollpanelen och fungerade utmärkt visade forskarna meddelanden på skärmen.
Ytterligare säkerhetsbrister upptäckta
Enligt Tierney krävdes samarbete för att hacka plånboken genom att flera olika personer bidrog på olika sätt. Enheten rootades, vilket innebär att man har fått administratörsrättigheter till den, i början av månaden av en IT-säkerhetsexpert som sedermera fann ett antal appar som inkluderade GPS- och Wi-Fi-spårare. Detta sågs som ett allvarligt säkerhetshot eftersom spårningsapparna fanns vara uppkopplade till olika webbtjänster såsom den kinesiska sökmotorn Baidu.
Mindre än tio dagar senare lyckades en 15-årig hackare installera spelet Doom på enheten och spela det. Detta ledde till diskussioner om att det svaga eller icke-befintliga skyddet mot manipulering skulle kunna möjliggöra för illasinnade personer att enkelt installera skadlig programvara och därmed göra enheten känslig för manipulering. Det fanns även en oro för att man med rootåtkomst enkelt skulle kunna programmera om enheten.
Bitfis svar på det hela ledde till det ena snedsteget efter det andra och dålig PR.
Källa: https://www.ccn.com/mcafees-unhackable-bitfi-wallet-hacked-again-security-researchers-await-bounty/