打脸太快:迈克菲BitFi钱包不到一周即破防
约翰·迈克菲上周放话称,其新打造的比特币钱包 Bitfi“固若金汤”。然而打脸总是来得太快 —— 不到一周的时间,它就被安全研究人员给攻破了。昨日,来自荷兰的安全研究人员“OverSoft”发表了一长串的 Twitter 消息,声称他已经拿到了这款加密货币钱包的根访问(root access)。
在其中一条推文中,@OverSoftNL 表示:
简短更新一些有关 BitFi 的细节 —— 我们拿到了它的根访问、有一个修补后的固件、并且能够证实 BitFit 钱包依然很开心地与仪表板保持连接。
这彻底打了 BitFi 的脸,它根本就没任何所宣称的检查。
脸疼的 BitFi 方面没有立即响应,后续的一条推文似乎证实了该安全漏洞的存在,但它没有说明 OverSoft 或有其它任何人确实突破了 BitFi 的安全防线。
外媒 TNW 向 BitFi 方面发去询问,也没有得到答复。不过峰回路转的速度也很快,因为该公司 CEO Daniel Hkesin 似乎发出了求救信号,称‘我们需要帮助’。
推文写道:“亲爱的朋友,我们宣布第二个漏洞奖励,请帮助 Bitfi 寻找潜在的设备安全漏洞”。
我们确实需要、也非常感谢来自社区的援助。详情请戳 —— bitfi.com/bounty2 。
不过整件事折腾得很是搞笑,因为最早的那位破解者称,Bitfi 无意向其支付 25 万美元的漏洞赏金。
OverSoft 向 BitFi 连续施加了嘲讽,称对方就是借机会搞营销而已(It’s pure marketing)。
另外值得注意的是,OverSoft 在没有实际拥有设备的情况下,就对其发起了攻击 —— 这显然是一个大问题。
设备的成本就要 120 美元(而且还没算上运费),结果证明它可能完全没必要。
OverSoft 重申,“你根本不需要 BitFi 设备来运行 BitFi 钱包”:
我再说一遍 —— 该设备中没有任何 BitFi 应用运行所必须的东西。它没有任何安全元素,官方明明可以将它作为一款普通 app 在 Play 商店中发布。
约翰·迈克菲坚称,获得 root 权限 ≠ 构成了攻击,黑客要从钱包中提取到资金才行。
但根据定义,只要 OverSoft 想做,就肯定可以在拿到 root 权限后破解钱包,从而允许其运行键盘记录器、补丁、然后从事各种邪恶的事情。