"Der weltweit erste nicht hackbare Speicher für Kryptowährung und digitale Assets."sagte John McAfee, der Vorsitzende der Hardware-Krypto-Brieftasche Bitfi. Auf der Homepage der Website werden diese Wörter mutig angegeben und sind daher schwer zu übersehen, ohne sie zu sehen.
Die Forscher von Pen Test Partners haben signierte Transaktionen mit Bitfi gesendet und damit ein wichtiges Ziel für das Wallet-Programm erreicht. Dies geschah erst vor kurzem, und jetzt, zum zillionsten Mal, war die Hardwaregehackt.
Unsere Top Trading Bots
Andrew Tierney, ein Sicherheitsberater bei Pen Test Partners, schrieb auf Twitter:
Nun, das ist eine Transaktion, die mit einem MitMed Bitfi durchgeführt wurde, wobei die Phrase und der Startwert an eine entfernte Maschine gesendet werden. Das klingt für mich sehr nach Bounty 2.pic.twitter.com/qBOVQ1z6P2
- Fragen Sie Cybergibbons! (@cybergibbons)13. August 2018
Verpflichtungen
Um das zweite Kopfgeld von nur 10.000 US-Dollar zu erhalten, muss die Firmware der Brieftasche geändert werden, die eine Verbindung zum Cyber-Bitfi-Dashboard herstellt. Und erfüllen Sie auch die letzte Verpflichtung, sicherzustellen, dass die geheime Phase des Benutzers oder private Ausweise an Dritte übertragen werden, während Sie sicherstellen, dass das Dashboard wie gewohnt funktioniert. Der Preis der zweiten Prämie verblasst im Vergleich zur ersten Prämie von 250.000 US-Dollar.
Der Gruppe gelang es, die Firmware zu ändern und die Kommunikation zwischen dem Gerät und der Geldbörse für digitale Assets zu gewährleisten. Um zu beweisen, dass die Hardware mit dem Dashboard verbunden ist und gut funktioniert, dachte die Forschergruppe daran, die Meldungen auf dem Bildschirm des Geräts anzuzeigen.
Gruppenstärke
Das Hacken der Brieftasche beinhaltete Gruppenarbeit mehrerer Personen und Organisationen, die unterschiedliche Beiträge leisteten. Dies ist laut Herrn Tierney.
Anfang August verwurzelte ein Experte für Informationssicherheit die Hardware und erhielt so den gesamten Zugriff und die Verwaltung. Er fand einige Apps, darunter Wi-Fi und GPS-Tracker. Diese Ergebnisse wurden als Sicherheitsproblem angesehen, da festgestellt wurde, dass die Apps eine Verbindung zu mehreren Webdiensten wie der großen Suchmaschine Baidu herstellen.
Der britische Wunderkind-Programmierer des 15-jährigen Rashid Saleem in weniger als elf Tagen nach den Ergebnissengeschafft zu installieren Doom Game App auf die Hardware und benutze sie. Dies brachte natürlich die Sorge mit sich, dass Akteure aufgrund des schlechten Manipulationsschutzes möglicherweise Malware installieren, wodurch die Sicherheitsanfälligkeit manipuliert werden kann. Und aufgrund des Rootens gibt es Bedenken, dass das Gerät neben dieser Möglichkeit, die Malware zu installieren, möglicherweise neu programmiert wird.
Die Reaktion des Unternehmens auf die gesamte Geschichte verursachte eine schlechte öffentliche Sicht. Es wurde kürzlich auf der BlackHat-Konferenz in Las Vegas mit dem Pwnie Award für die Lamest Vendor Response ausgezeichnet.
Bildquelle: Flickr