Gửi bài viết tới BigCoin

Bitfi - Ví tiền số “không thể bị hack” của McAfee bị phát hiện nhiều nghi vấn

Đăng bởi: Mi_A  - 01/08/2018 - 141 lượt xem
Chia sẻ
 

Tuần trước, John McAfee đã trao thưởng 100.000 USD cho bất kỳ ai có thể hack được ví Bitfi – một thiết bị được quảng cáo là ví tiền điện tử hoàn toàn “bất khả xâm phạm” đầu tiên trên thế giới.

 

 

Bitfi thậm chí còn yêu cầu công khai quá trình đó. Điều thú vị là, khi một nhóm hackers và các nhà nghiên cứu bảo mật chấp nhận thử thách, họ đã tìm thấy một loạt các vấn đề khiến tiêu chuẩn an ninh của thiết bị này bị nghi ngờ.

Trong khi vẫn chưa ai giành được phần thưởng trị giá 100.000 USD với việc lấy cắp số tiền điện tử trị giá 50 USD bên trong, những người này đã tiếp cận theo một cách hoàn toàn khác: tháo banh nó ra. Ryan Castellucci, kỹ sư phần mềm, nhận xét rằng Bitfi dường như chính xác đến mức trần trụi nhưng những gì nó được quảng cáo – một chiếc điện thoại Android giá rẻ bị cắt đầu bẻ đuôi.

 

" Bitfi appears to be exactly what it looks like from the photos – a cheap stripped down android phone. there's some screenshots of it demanding to be connected to wifi in order to function elsewhere in @cybergibbons's feed. someone will probably have doom running on it by friday. 

— ryan castellucci (@ryancdotorg) july 29, 2018 "

 

‘Bitfi có vẻ chính xác như hình ảnh quảng cáo của nó – một chiếc điện thoại Android giá rẻ. Có một số ảnh chụp màn hình của nó đòi hỏi phải được kết nối với WiFi để hoạt động ở nơi khác trong nguồn cấp dữ liệu của @cybergibbons.’

Các nhà nghiên cứu đã tải lên một danh sách đầy đủ các thư mục được nạp vào bộ nhớ của nó (ROM) khi thiết bị được bật. Được công bố công khai thông qua Pastebin, chúng cho thấy một cái nhìn tổng quan những cài đặt mặc định trên Bitfi.

 

" Điều khó hiểu nhất là sự có mặt của một bộ phần mềm độc hại nổi tiếng với cái tên adups fota, một nền tảng phần mềm gián điệp cho đánh cắp dữ liệu, cuộc gọi, vị trí và dữ liệu ứng dụng đến máy chủ ở trung quốc 72 giờ một lần."

 

Một phần mềm lậu khác là ứng dụng Baidu đến từ Trung Quốc. Nó có tích hợp chức năng theo dõi WiFi và GPS – điều này làm cho thiết bị này trở nên hoàn hảo cho những ai yêu thích “sự riêng tư tuyệt đối”.

Cũng không có kho chứa lạnh bên trong, tất cả các khoản tiền dường như được lưu giữ trong “ví nóng”. Đây chính là phương pháp lưu trữ tiền điện tử chịu trách nhiệm cho vụ lộn xộn của CoinCheck hồi đầu năm nay.

 

 

McAfee, cố vấn của Bitfi, khẳng định cái gọi là “chiếc ví” này thực sự là một thiết bị giống như điện thoại di động giá rẻ. “Không có bộ nhớ trong,” McAfee cho biết. “Chiếc ví sẽ nhận hướng dẫn của nó cho mỗi coins từ các máy chủ của chúng tôi.”

Tính bảo mật của Bitfi dựa trên khả năng giữ tất cả các khóa bí mật và các cụm từ riêng tư an toàn – vì vậy sự thật của chiếc ví “không thể tấn công” này, về mặt kỹ thuật cũng giống như bất kỳ giải pháp ví trực tuyến nào khác.

Điều đáng báo động nhất là có vẻ như FOTA Adups và Baidu đang hoạt động và đang truyền tải thông tin trên những thiết bị này.

 

" At least the baidu and adups apps are indeed actively running on the device, including calling home to baidu and adups.

the rest of the system/vendor partitions include drivers for removed devices like the camera, tcpdump, adbd and several other debugging binaries

— oversoft (@oversoftnl) july 30, 2018 "

 

" Hầu hết phần mềm trông giống như một chiếc điện thoại MediaTek bình thường, bao gồm:

– Trình theo dõi GPS / WIFI của Baidu

– Bộ phần mềm độc hại Adups FOTA nổi tiếng

– Toàn bộ thư viện Mediatek của các ứng dụng mẫu

– Trình theo dõi, có khả năng ghi lại tất cả hoạt động trên thiết bị

Ít nhất các ứng dụng Baidu và Adups thực sự đang hoạt động rất tích cực trên thiết bị này, bao gồm cả gọi điện về nhà cho Baidu và Adups.

Phần còn lại của hệ thống / nhà cung cấp bao gồm các trình điều khiển cho các thiết bị đã bị xóa như máy ảnh, tcpdump, adbd và một số tệp nhị phân gỡ lỗi khác.”

 

Chúng tôi đã liên hệ với một trong những nhà nghiên cứu, Cybergibbons, một chuyên gia tư vấn bảo mật cho một công ty hackẻ mũ trắng. Ông đã trả lời rằng họ đã truy cập dữ liệu thông qua một chipset Mediatek được thiết bị sử dụng. Chip này, một chip eMMC 8GB, tải các thư viện vào bộ nhớ trong (ROM) khi khởi động để hỗ trợ việc chạy các ứng dụng.

 

“ Các thiết bị đang sử dụng một chipset mediatek” nhà nghiên cứu cho biết. “ thường thì trường hợp các chipset này sẽ chạy một bộ nạp mediatek trong vài giây đầu tiên khi chúng khởi động. điều này có thể được tương tác với qua usb. ”

 

Nhóm đã sử dụng một công cụ miễn phí, SP Flash Tool, để truy cập dữ liệu và đọc nó mà không gặp khó khăn gì. Cybergband đã miêu tả sơ qua quá trình trên Twitter:

“ Vấn đề là họ dường như không chịu thu nhỏ thiết bị, đó là những gì mà họ cần làm” cyberglip nói thêm. “ tất cả các công cụ bổ sung này khiến bạn có nguy cơ bị theo dõi, truy dấu và gặp phải các cuộc tấn công mạng khác.”

Tóm lại thì, trong trường hợp này, đáng lẽ ra nên loại bỏ phần mềm bloatware và các công cụ phần mềm độc hại. Thay vào đó, chúng ta lại phát hiện ra Bitfi vừa sản xuất ra một loạt các điện thoại Android và bán chúng làm ví mà không quan tâm đến việc bảo vệ dữ liệu nhạy cảm của người dùng.

Ông tiếp tục làm rõ rằng bây giờ họ tin rằng hệ thống tập tin của Bitfi là chỉ đọc, có nghĩa là bất kỳ dữ liệu được lưu trữ trên thiết bị không thể được ghi đè. Nếu các nhà nghiên cứu là chính xác, nó có nghĩa là phần mềm gián điệp có nhiều khả năng được tải trước trên ví trước khi vận chuyển – chứ không phải sau.

Chúng ta đều biết điều này có nghĩa là gì. Hiện tại đại diện Bitfi vẫn chưa đưa ra bình luận nào về vấn đề này.

Nhưng dù sao đi nữa, hãy nhớ kiếm tra kĩ trước khi đặt tiền của bạn vào bất cứ đâu. Không gì là bất khả xâm phạm!

 

Theo TheNextWeb

Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

Mi_A

Là member của nhóm Core Team - Team chuyên phân tích các dự án Coins, ICO chuyên nghiệp của Bigcoinvietnam.

KYC và AML là gì? Tại sao KYC và AML lại quan trọng đến vậy?


Tiền mã hóa đã trở thành một trong những chủ đề được bàn luận nhiều nhất trong lĩnh vực tài chính. Nhưng dù có nhiều lợi thế và những đổi mới mang tính cách mạng, khi nói đến tiền mã hóa không thể không nói đến tội phạm và các hoạt động bất hợp pháp. Kể từ đầu năm 2017, các chính phủ từ khắp nơi trên thế giới đã xây dựng các quy định quản lý cho khu vực thị trường này. Phần lớn những nỗ lực này xoay quanh việc thực hiện các quy định về KYC và AML.


Có thể bạn quan tâm:

 

KYC và AML là gì?

KYC là chữ viết tắt của “Know Your Customer.” Quá trình này liên quan đến việc nhận thông tin liên quan đến danh tính của khách hàng trong một dịch vụ. Nền tảng cung cấp dịch vụ sẽ yêu cầu tất cả khách hàng gửi các thông tin nhận dạng thích hợp như ID ảnh, tài khoản ngân hàng, thông tin thẻ tín dụng, địa chỉ cư trú, các loại hóa đơn, v.v.

 

KYC chủ yếu được sử dụng để đảm bảo rằng chỉ những người có đủ điều kiện mới có quyền sử dụng một dịch vụ nhất định. Điều này được thực hiện để trẻ vị thành niên, những người nhập cư không có giấy tờ, hoặc những người có tiền án không sử dụng dịch vụ.

 

Nó cũng tạo ra một cơ sở dữ liệu thông tin mà cơ quan thực thi pháp luật có thể sử dụng trong các cuộc điều tra của họ trong trường hợp của một số hoạt động tội phạm trong tương lai. KYC là một phần thiết yếu được tích hợp vào nhiều nền tảng trực tuyến, giống như các nền tảng được sử dụng cho giao dịch liều lĩnh và ngoại hối.

 

AML xuất phát từ "Anti Money Laundering" (Chống rửa tiền). AML bao gồm một loạt các quy định được thực hiện nhằm ngăn chặn thu nhập được tạo ra thông qua các giao dịch bất hợp pháp. Các chính phủ và các tổ chức tài chính bắt buộc phải sử dụng để phát triển một khuôn khổ pháp lý ngăn chặn tội phạm chuyển đổi tiền từ các hoạt động bất hợp pháp vào tài sản hợp pháp. Hệ sinh thái tài chính chủ đạo thường xuyên kiểm tra và bản đối chiếu thu chi được thiết kế để ngăn chặn hoạt động rửa tiền.



Quy chế quản lý tiền mã hóa

Các nước đang đưa ra các quy đinh quản lý nghiêm ngặt hơn đối với tiền mã hóa

Các nước đang đưa ra các quy đinh quản lý nghiêm ngặt hơn đối với tiền mã hóa

KYC và AML chiếm một phần lớn trong nỗ lực được sử dụng trong quá trình điều tiết ngành công nghiệp tiền mã hóa. Hàng tỷ đô la thâm nhập vào thị trường này từ nhiều nguồn khác nhau, chính phủ và các tổ chức tài chính cảm thấy bắt buộc phải theo dõi không gian tiền mã hóa chặt chẽ hơn.

 

Vì ICO đã tăng cả về mức độ phổ biến và số lượng, nên các nhà quản lý cũng chú ý nhiều hơn đến ICO. Hiện nay KYC và AML cần thiết ở một mức độ nhất định đối với tất cả các dịch vụ phát hành coin.

 

Tuy nhiên, các quy định của KYC và AML mâu thuẫn với các triết lý cốt lõi xây dựng nên blockchain - công nghệ cơ bản của tiền mã hóa; triết lý đó là ẩn danh. Theo nguyên tắc này, các giao dịch tiền mã hóa nên được ẩn danh và không thể truy cập, tránh gây ra nhiều vấn đề cho các nhà quản lý vì có những lo ngại rằng bọn tội phạm có thể lợi dụng lợi thế của hệ thống của họ.

 

ML / TF là một thuật ngữ thường được sử dụng bởi các đối thủ tiền mã hóa khi đưa ra các lập luận chống lại hệ thống. ML / TF xuất phát từ "Money Laundering/Terrorist Funding" (Rửa tiền/Tài Trợ Khủng Bố). Nếu việc chuyển tiền không được theo dõi, điều này có thể gây tai hại cho an ninh tài chính và quốc gia của bất kỳ quốc gia nào. Bởi vì thế mà các chính phủ ở một số quốc gia đã bắt đầu chèn ép thị trường tiền mã hóa. Mặc dù mỗi quốc gia có cách tiếp cận khác nhau, nhưng giống nhau về mục tiêu: ngăn chặn các hoạt động giao dịch crypto ẩn danh.

 

Nên triển khai ngay bây giờ

 

Vào năm 2014, Charlie Shrem, một cái tên nổi bật trong ngành công nghiệp blockchain và tiền mã hóa đã nhận án tù hai năm vì đã tham gia vào hoạt động rửa tiền và trốn thuế. Những hành vi sai trái của Charlie Shrem bị cáo buộc liên quan đến chợ đen Silk Road khét tiếng. Ông bị buộc tội đã giúp Robert Faiella rửa 1 triệu đô la tương đương với giá trị của Bitcoin mà sau đó được sử dụng để mua một số mặt hàng bất hợp pháp. Shrem cũng bị truy tố vì không báo cáo các hoạt động đáng ngờ diễn ra trên nền tảng sàn giao dịch tiền mã hóa của anh, BitInstant.

 

Hàn Quốc, Hoa Kỳ, Anh và Liên minh châu Âu cũng đã tích hợp các quy trình KYC và AML trong tất cả các hệ thống điều tiết tiền mã hóa của họ. Nghị viện châu Âu cùng với Ngân hàng Trung ương châu Âu quyết định vào năm 2017 rằng các quy tắc KYC và AML phải được đưa vào thị trường tiền mã hóa. Phán quyết này hiện đang được các quốc gia thành viên chấp thuận. Các quốc gia bao gồm Pháp, Hàn Quốc, Hoa Kỳ và thậm chí cả Nhật Bản đều đã thực hiện các cải tiến đối với các thủ tục KYC và AML để có hiệu lực trong các thị trường tiền mã hóa tại các nước này.
KYC và AML hiện đang được áp dụng tại nhiều quốc gia

KYC và AML hiện đang được áp dụng tại nhiều quốc gia

Kết luận

 

Khi ngày càng có nhiều quốc gia bắt đầu triển khai khuôn khổ pháp lý đối với các sàn giao dịch tiền mã hóa, các dịch vụ ví và các doanh nghiệp blockchain khác, tất cả họ sẽ phải tuân thủ các tiêu chuẩn KYC và AML nếu họ muốn hoạt động hợp pháp.

 

Bạn đang đọc: KYC và AML là gì? Tại sao KYC và AML lại quan trọng đến vậy? tại Tin tức

 

Theo coindoo

Biên dịch: bigcoinvietnam

Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

Anna

Thành viên của đội ngũ dịch bài từ các trang web uy tín ở nước ngoài luôn cập nhật nhanh nhất về những tin tức trên thế giới trong ngành công nghiệp mới nổi và còn non trẻ này.

Bigcoin Việt Nam - Phân tích đầu tư Bitcoin, Ethereum, đầu tư ICO theo 39 tiêu chí phân tích công nghệ