В Jaxx и BitcoinСom обнаружены уязвимости
Исследователи китайской компании Cheetah Mobile обнаружили ряд уязвимостей у 2 популярных провайдеров криптокошельков: BitcoinСom и Jaxx.
Специалисты Cheetah Mobile досконально изучили кошелёк BitcoinСom и обнаружили, что часть данных, используемых для восстановления кошелька, хранятся не в зашифрованном виде, а в простом текстовом формате. При том что файл хранится в операционной системе телефона, то есть является локальным файлом.
Поэтому любой хакер, найдя пользователей кошелька BitcoinСom, сможет предложить ему скачать приложение. Если потенциальная жертва закачает приложение, злоумышленник получит доступ к файлу, который, в свою очередь, обеспечит доступ к ключу.
Поработав с кошельком Jaxx, исследователи обнаружили иную уязвимость. Ключи кошелька защищены с помощью одного из самых безопасных методов шифрования данных, алгоритмом AES, его ещё использует спецслужба США. Однако выполнение алгоритма шифрования происходит в коде самого приложения. Получается, что зашифрованные ключи также могут быть полезны хакерам, учитывая, что злоумышленники могут знать, как дешифровать данные и сделать это на другом устройстве. Дешифрованный ключ откроет доступ к средствам.
Также ранее исследователи из Techgage обнаружили ещё одну проблему Jaxx. Стало известно, что вся информация о пользователях хранится в папке APPDATA. Этой информации достаточно для повторной аутентификации. Таким образом, имея доступ к персональному компьютеру и папке APPDATA, можно пройти аутентификацию на другом компьютере и открыть там кошелёк и вывести средства.
Напомним, что в прошлом году кошельки Jaxx были взломаны хакерами и пользователи потеряли более 400 000 долларов.
17 февраля, 2022 в 06:38
