"De eerste niet-hackbare opslag ter wereld voor cryptocurrency en digitale activa,"zei John McAfee, de voorzitter van de hardware crypto wallet Bitfi. Op de homepage van de website worden deze woorden dapper genoemd, en daarom moeilijk voorbij te gaan zonder ze te zien.
De onderzoekers van Pen Test Partners stuurden ondertekende transacties met Bitfi, waarmee ze een belangrijke doelstelling voor het wallet-programma voltooiden. Dit gebeurde pas onlangs, en nu voor de ziljoenste keer is de hardware dat geweestgehackt.
Onze beste handelsrobots
Een beveiligingsadviseur bij Pen Test Partners, Andrew Tierney, schreef op Twitter:
Nou, dat is een transactie gemaakt met een MitMed Bitfi, waarbij de zin en het zaad naar een externe machine worden gestuurd. Dat lijkt veel op Bounty 2 voor mij.pic.twitter.com/qBOVQ1z6P2
- Vraag het aan Cybergibbons! (@cybergibbons)13 augustus 2018
Verplichtingen
Om de tweede premie van slechts $ 10.000 te ontvangen, moet men de firmware van de portemonnee aanpassen die verbinding maakt met het cyber Bitfi-dashboard. En voltooi ook de laatste verplichting om ervoor te zorgen dat de geheime fase van de gebruiker of privépassen worden vervoerd naar een derde partij, terwijl u ervoor zorgt dat het dashboard naar behoren presteert. De prijs van de tweede premie verbleekt in vergelijking met de eerste premie van $ 250.000.
De groep slaagde erin de firmware aan te passen en de communicatie tussen het apparaat en de portefeuille met digitale activa te doorstaan. Om te bewijzen dat de hardware in verbinding stond met het dashboard en goed functioneerde, dacht de groep onderzoekers de berichten op het scherm van het toestel te laten zien.
Groepssterkte
Het hacken van de portemonnee betrof groepswerk van verschillende personen en entiteiten die verschillende bijdragen creëerden. Dit is volgens meneer Tierney.
Begin augustus heeft een informatiebeveiligingsexpert de hardware geroot, waardoor alle toegang en administratie is verkregen. Hij vond een aantal apps, waaronder wifi en gps-trackers. Deze bevindingen werden gezien als een beveiligingsprobleem, aangezien de apps verbinding bleken te maken met verschillende webservices, zoals de grote zoekmachine Baidu.
De Britse wonderprogrammeur van de 15-jarige Rashid Saleem, in minder dan elf dagen na de bevindingenerin geslaagd om te installeren Doom game-app op de hardware en gebruik deze. Dit bracht natuurlijk de zorgen met zich mee dat actoren als gevolg van slechte sabotagebeveiligingen malware kunnen installeren, waardoor de kwetsbaarheid kan worden gemanipuleerd. En vanwege het rooten, zijn er zorgen dat het apparaat, naast deze mogelijkheid om de malware te installeren, opnieuw kan worden geprogrammeerd.
De reactie van het bedrijf op het hele verhaal veroorzaakte een slechte publieke opinie. Het heeft onlangs de Pwnie Award gewonnen voor de Lamest Vendor Response op de BlackHat-conferentie in Las Vegas.
Afbeeldingsbron: Flickr