Gửi bài viết tới BigCoin

Bitfi - Ví tiền số “không thể bị hack” của McAfee bị phát hiện nhiều nghi vấn

Đăng bởi: Mi_A  - 01/08/2018 - 243 lượt xem
Chia sẻ
 

Tuần trước, John McAfee đã trao thưởng 100.000 USD cho bất kỳ ai có thể hack được ví Bitfi – một thiết bị được quảng cáo là ví tiền điện tử hoàn toàn “bất khả xâm phạm” đầu tiên trên thế giới.

 

 

Bitfi thậm chí còn yêu cầu công khai quá trình đó. Điều thú vị là, khi một nhóm hackers và các nhà nghiên cứu bảo mật chấp nhận thử thách, họ đã tìm thấy một loạt các vấn đề khiến tiêu chuẩn an ninh của thiết bị này bị nghi ngờ.

Trong khi vẫn chưa ai giành được phần thưởng trị giá 100.000 USD với việc lấy cắp số tiền điện tử trị giá 50 USD bên trong, những người này đã tiếp cận theo một cách hoàn toàn khác: tháo banh nó ra. Ryan Castellucci, kỹ sư phần mềm, nhận xét rằng Bitfi dường như chính xác đến mức trần trụi nhưng những gì nó được quảng cáo – một chiếc điện thoại Android giá rẻ bị cắt đầu bẻ đuôi.

 

" Bitfi appears to be exactly what it looks like from the photos – a cheap stripped down android phone. there's some screenshots of it demanding to be connected to wifi in order to function elsewhere in @cybergibbons's feed. someone will probably have doom running on it by friday. 

— ryan castellucci (@ryancdotorg) july 29, 2018 "

 

‘Bitfi có vẻ chính xác như hình ảnh quảng cáo của nó – một chiếc điện thoại Android giá rẻ. Có một số ảnh chụp màn hình của nó đòi hỏi phải được kết nối với WiFi để hoạt động ở nơi khác trong nguồn cấp dữ liệu của @cybergibbons.’

Các nhà nghiên cứu đã tải lên một danh sách đầy đủ các thư mục được nạp vào bộ nhớ của nó (ROM) khi thiết bị được bật. Được công bố công khai thông qua Pastebin, chúng cho thấy một cái nhìn tổng quan những cài đặt mặc định trên Bitfi.

 

" Điều khó hiểu nhất là sự có mặt của một bộ phần mềm độc hại nổi tiếng với cái tên adups fota, một nền tảng phần mềm gián điệp cho đánh cắp dữ liệu, cuộc gọi, vị trí và dữ liệu ứng dụng đến máy chủ ở trung quốc 72 giờ một lần."

 

Một phần mềm lậu khác là ứng dụng Baidu đến từ Trung Quốc. Nó có tích hợp chức năng theo dõi WiFi và GPS – điều này làm cho thiết bị này trở nên hoàn hảo cho những ai yêu thích “sự riêng tư tuyệt đối”.

Cũng không có kho chứa lạnh bên trong, tất cả các khoản tiền dường như được lưu giữ trong “ví nóng”. Đây chính là phương pháp lưu trữ tiền điện tử chịu trách nhiệm cho vụ lộn xộn của CoinCheck hồi đầu năm nay.

 

 

McAfee, cố vấn của Bitfi, khẳng định cái gọi là “chiếc ví” này thực sự là một thiết bị giống như điện thoại di động giá rẻ. “Không có bộ nhớ trong,” McAfee cho biết. “Chiếc ví sẽ nhận hướng dẫn của nó cho mỗi coins từ các máy chủ của chúng tôi.”

Tính bảo mật của Bitfi dựa trên khả năng giữ tất cả các khóa bí mật và các cụm từ riêng tư an toàn – vì vậy sự thật của chiếc ví “không thể tấn công” này, về mặt kỹ thuật cũng giống như bất kỳ giải pháp ví trực tuyến nào khác.

Điều đáng báo động nhất là có vẻ như FOTA Adups và Baidu đang hoạt động và đang truyền tải thông tin trên những thiết bị này.

 

" At least the baidu and adups apps are indeed actively running on the device, including calling home to baidu and adups.

the rest of the system/vendor partitions include drivers for removed devices like the camera, tcpdump, adbd and several other debugging binaries

— oversoft (@oversoftnl) july 30, 2018 "

 

" Hầu hết phần mềm trông giống như một chiếc điện thoại MediaTek bình thường, bao gồm:

– Trình theo dõi GPS / WIFI của Baidu

– Bộ phần mềm độc hại Adups FOTA nổi tiếng

– Toàn bộ thư viện Mediatek của các ứng dụng mẫu

– Trình theo dõi, có khả năng ghi lại tất cả hoạt động trên thiết bị

Ít nhất các ứng dụng Baidu và Adups thực sự đang hoạt động rất tích cực trên thiết bị này, bao gồm cả gọi điện về nhà cho Baidu và Adups.

Phần còn lại của hệ thống / nhà cung cấp bao gồm các trình điều khiển cho các thiết bị đã bị xóa như máy ảnh, tcpdump, adbd và một số tệp nhị phân gỡ lỗi khác.”

 

Chúng tôi đã liên hệ với một trong những nhà nghiên cứu, Cybergibbons, một chuyên gia tư vấn bảo mật cho một công ty hackẻ mũ trắng. Ông đã trả lời rằng họ đã truy cập dữ liệu thông qua một chipset Mediatek được thiết bị sử dụng. Chip này, một chip eMMC 8GB, tải các thư viện vào bộ nhớ trong (ROM) khi khởi động để hỗ trợ việc chạy các ứng dụng.

 

“ Các thiết bị đang sử dụng một chipset mediatek” nhà nghiên cứu cho biết. “ thường thì trường hợp các chipset này sẽ chạy một bộ nạp mediatek trong vài giây đầu tiên khi chúng khởi động. điều này có thể được tương tác với qua usb. ”

 

Nhóm đã sử dụng một công cụ miễn phí, SP Flash Tool, để truy cập dữ liệu và đọc nó mà không gặp khó khăn gì. Cybergband đã miêu tả sơ qua quá trình trên Twitter:

“ Vấn đề là họ dường như không chịu thu nhỏ thiết bị, đó là những gì mà họ cần làm” cyberglip nói thêm. “ tất cả các công cụ bổ sung này khiến bạn có nguy cơ bị theo dõi, truy dấu và gặp phải các cuộc tấn công mạng khác.”

Tóm lại thì, trong trường hợp này, đáng lẽ ra nên loại bỏ phần mềm bloatware và các công cụ phần mềm độc hại. Thay vào đó, chúng ta lại phát hiện ra Bitfi vừa sản xuất ra một loạt các điện thoại Android và bán chúng làm ví mà không quan tâm đến việc bảo vệ dữ liệu nhạy cảm của người dùng.

Ông tiếp tục làm rõ rằng bây giờ họ tin rằng hệ thống tập tin của Bitfi là chỉ đọc, có nghĩa là bất kỳ dữ liệu được lưu trữ trên thiết bị không thể được ghi đè. Nếu các nhà nghiên cứu là chính xác, nó có nghĩa là phần mềm gián điệp có nhiều khả năng được tải trước trên ví trước khi vận chuyển – chứ không phải sau.

Chúng ta đều biết điều này có nghĩa là gì. Hiện tại đại diện Bitfi vẫn chưa đưa ra bình luận nào về vấn đề này.

Nhưng dù sao đi nữa, hãy nhớ kiếm tra kĩ trước khi đặt tiền của bạn vào bất cứ đâu. Không gì là bất khả xâm phạm!

 

Theo TheNextWeb

Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

Mi_A

Là member của nhóm Core Team - Team chuyên phân tích các dự án Coins, ICO chuyên nghiệp của Bigcoinvietnam.

Afri Schoedon – nhà phát triển cốt lõi của Ethereum đã “lùi bước” khỏi mạng xã hội do sự công kích của các “anh hùng bàn phím”


Một bài Tweet chủ nhật vừa rồi của Schoedon với nội dung trong tương lai gần anh sẽ “không phản hồi trên Gitter, Skype, Discord, Slack, Wire, Twitter và Reddit” về các vấn đề về yêu cầu về đóng góp hoặc về các câu hỏi chung về công nghệ.

Các nhà phát triển khác đã vô cùng phẫn nộ về các hành động dẫn tới quyết định này của Schoedon 

“Tôi thấy vô cùng tức giận và thất vọng về cộng đồng của Ethereum. Các bạn có thể đánh mất một trong những người tốt nhất chỉ bởi vì những lý do “ngu xuẩn” nhất. Đãng nhẽ, phải có nhiều hơn những người lên tiếng ủng hộ và có ít đi những bình luận chỉ trích.” – quản lý cộng đồng Hudson Jameson đã lên tiếng cho của đội ngũ sáng lập Ethereum trên Twitter.

Lời bình luật theo sau bài đăng của Schoedon hôm thứ 5 đã so sánh công nghệ mở rộng ethereum – Serenity và protocal khả năng tương tác blockchain – Polkadot.

Anh khẳng định trên Twitter răng “Polkadot làm được những thứ mà Serenity nên có”

Đứng dưới tầm ngắm của những kẻ chống lại ethereum – những luôn tìm cơ hội phá hủy giá trị của mạng lưới này, Schoedon đã được gọi tên trên Twitter và Reddit bởi vì thứ được coi là “xung đột về lợi ích”. 

Schoedon là nhà quản lý phát hành cho khách hàng khách hàng phần mềm Ethereum quản lý bởi công ty khởi nghiệp blockchain Parity – công ty hiện đang xây dựng Polkadot. Chối bỏ các cáo buộc được đưa ra, Schoedon đã đăng 1 bài Tweet vào thứ 6 rằng “ tôi muốn làm rõ rẳng việc tôi đưa ra bài tweet này là để thảo luận chứ không phải chấm dứt mọi bàn luận.”

Mọi tweet của Schoedon từ tháng 6 năm 2017 đều bị xóa ngoại trừ 2 bài tweet giải thích về sự vắng mặt của anh ta trong hầu hết các nhóm công khai.

Nguồn: Coindesk

Biên dịch: Bigcoin Việt Nam

Chia sẻ  
  
  
  
100% Rating
Điểm: 5 / 5
1 Bình chọn

Christina

Sự khác biệt giữa một thách thức và một cơ hội nằm ở thái độ của bạn. Khi niềm tin của bạn lớn hơn nỗi sợ hãi, thách thức sẽ thành cơ hội của bạn.

Bigcoin Việt Nam - Phân tích đầu tư Bitcoin, Ethereum, đầu tư ICO theo 39 tiêu chí phân tích công nghệ