Peneliti Keamanan Mematahkan Dompet Cryptocurrency McAfee-Endorsed, Temukan Apa-apa selain Smartphone Murah

Dompet “cryptocurrency” yang tidak dapat dikendalikan pertama di dunia, seperti yang diklaim oleh John McAfee, menghadapi murka peneliti keamanan segera setelah pengumumannya pada 28 Juli 2018.

Tidak begitu tidak bisa dibendung
Cybersecurity blogger Ryan Castellucci pertama kali menyebut fitur keamanan Bitfi yang seharusnya di blognya, merusak beberapa aspek yang membuat para ahli merasa curiga. Cakupan pasca Castelluci, para peneliti menyatakan temuan dan pendapat mereka atas Twitter dan Reddit.

Untuk yang belum tahu, McAfee mengiklankan dompet Bitfi pada 24 Juli 2018, melalui Twitter, menawarkan hadiah sebesar $ 100.000 kepada siapa saja yang dapat meretas “dompet yang tidak bisa dibendung.” Bitfi lebih lanjut menyatakan bahwa jumlah itu bukan sekadar tipu muslihat, yang mendasarkan pada “absolut mereka” keamanan.”

Namun, Castellucci dan yang lain menemukan bahwa dompet tersebut tidak memiliki perangkat lunak keamanan yang canggih dan sangat mirip dengan perangkat yang sepenuhnya berbeda, menyebutnya sebagai “ponsel Android murah yang dipundurkan” berdasarkan foto yang dirilis.

Para peneliti telah menyusun daftar besar direktori, tersedia untuk dilihat publik di Pastebin, yang memuat pada RAM perangkat saat startup. Langkah ini memberi mereka gambaran umum tentang semua proses pra-instal pada dompet Bitfi.

Sementara penyelidikan mengungkapkan kurangnya penyimpanan dingin internal, para peneliti paling dikejutkan oleh kehadiran aplikasi malware yang disebut Adups FOTA , yang secara tidak sengaja melepaskan data pengguna yang sensitif, seperti panggilan, teks, dan lokasi, ke servernya di China setelah periode berulang dari 72 jam.

Bitfi juga dilengkapi dengan versi Baidu yang telah dipasang sebelumnya , aplikasi Cina dengan fungsi pelacakan GPS built-in. Mengkhawatirkan, kedua aplikasi yang dimaksud tampaknya mengirimkan data ke server Cina selama tes.

Yang menarik, karunia itu datang dengan persyaratan dan ketentuannya sendiri. Para peneliti telah terlebih dahulu membeli perangkat Bitfi $ 120, membayar $ 10 untuk memuatnya dengan koin, dan kemudian meretas perangkat mereka sendiri. Castellucci menambahkan:

“Seorang peneliti menemukan, misalnya, [jika] perangkat memiliki RNG lemah yang memungkinkan untuk pemulihan kunci dengan memeriksa serangkaian transaksi yang dihasilkan olehnya, mereka tidak akan memenangkan karunia. Mereka juga tidak akan menemukan cara untuk membajak sistem pembaruan otomatis mereka untuk menginstal keylogger. ”

Peneliti keamanan lainnya membagikan temuan mereka di Twitter:

Dari apa yang tampaknya, Bitfi telah membeli ponsel murah dalam jumlah besar dan mengirimkannya dengan dalih dompet cryptocurrency, tanpa memperhatikan privasi data atau potensi kehilangan dana.

Sementara itu, McAfee menegaskan tidak adanya penyimpanan internal pada perangkat Bitfi di Twitter, menyatakan bahwa dompet menerima instruksi “untuk setiap koin dari server kami.” Aspek ini membuat produk tidak lebih dari penawaran dompet online dengan perangkat khusus untuk aksesibilitas.