Carteira Bitfi, tratada por McAfee como “impossível de hackear”, é hackeada novamente

Na página inicial do site da carteira Bitfi, é difícil não ler a declaração de McAfee, diretor da companhia, sobre o produto:

“A primeira armazenagem de criptomoedas e ativos digitais impossível de hackear.”

Leia mais: Universidade de Hong Kong recebe US$20 milhões para pesquisar sobre sistemas de pagamento e blockchain

Bitfi

Contudo, novamente, a segurança da carteira em hardware foi seriamente comprometida. No mais recente incidente, segundo o Hard Fork, pesquisadores de segurança da Pen Test Partners conseguiram enviam transações assinadas utilizando a Bitfi, preenchendo um requerimento vital para o programa de recompensa da companhia. Andrew Tierney, consultor de segurança da Pen Test Partners, escreveu em seu Twitter:

“Bom, aqui está uma transação feita com a MitMed Bitfi, com a frase e seed sendo enviadas para uma máquina remota. Isso parece com uma recompensa para mim.”

Três Condições

Comparada à recompensa inicial da Bitfi, que ofereceu um prêmio de US$250 mil, a segunda recompensa é magra, sendo apenas de US$10 mil. Para reivindicar a segunda recompensa, as regras incluem, dentre outras, modificar o firmware da carteira e então conectá-la ao painel da Bitfi. A condição final envolve garantir que a frase secreta do usuário, ou sua chave privada, sejam transmitidas para um terceiro, enquanto garante que o painel da Bitfi continue funcionando normalmente.

Segundo Tierney, a equipe foi capaz de modificar significativamente o firmware e, consequentemente, interceptou comunicações entre o dispositivo hardware e a carteira. E para provar que o dispositivo ainda estava conectado ao painel e funcionando perfeitamente, os pesquisadores mostraram mensagens na tela.

Leia mais: Criador da Cardano revela antecipadamente grande anúncio sobre a criptomoeda

Trabalho em equipe

Segundo Tierney, hackear o hardware da carteira envolveu trabalho em equipe com diversos indivíduos e entidades, que fizeram diversas contribuições.

“Novamente, tudo que eu fiz foi colar peças que outros fizeram. O rooting, não fui eu. O MitM, não fui eu. O método através do qual nós conseguimos a chave, não fui eu. O Python ruim que juntou isso tudo, fui eu.”

O dispositivo foi rootado (ganhando acesso de privilegiado e de administrador) no início deste mês por um especialista em segurança da informação, que descobriu diversos aplicativos no hardware, incluindo um GPS e rastreadores Wi-Fi. Isto foi visto como um sério problema de segurança, tendo em vista que os aplicativos de rastreamento estavam conectados a vários sites, incluindo o site de buscas chinês Baidu.

Menos de 10 dias depois, o hacker prodígio Saleem Rashid, de 15 anos, instalou o jogo Doom no dispositivo e jogou. Isso levantou questões sobre o hardware conter fracas (ou inexistentes) proteções, permitindo que figuras mal intencionadas instalem malwares facilmente, deixando o dispositivo vulnerável a manipulações. Adicionalmente, existem preocupações que com acesso root, o dispositivo possa ser facilmente reprogramado.

A resposta da Bitfi para toda essa saga resultou em uma série de decisões erradas e publicidade ruim. Como resultado, a empresa recentemente ganhou o Prêmio Pwnie de Pior Resposta de Fabricante durante a conferência BlackHat nos Estados Unidos, realizada em Las Vegas.

Leia mais: Bitmain detém quase 6% da reserva total de Bitcoin Cash

Fonte: CCN