Недавно Джон Макафи  анонсировал у себя в Twitter, что готов выплатить вознаграждение  любому, кто сумеет взломать криптовалютный кошелек Bitfi, созданный одноименной компанией совместно с самим Макафи. Он назвал Bitfi «невзламываемым» и призвал скептиков убедиться в этом лично.

Сначала Макафи пообещал исследователям вознаграждение в размере 100 000 долларов США, однако скептики отметили, что размер предложенной награды подозрительно скромен для «невзламываемого» решения (за которое к тому же придется отдать 120 долларов), и заподозрили, что Макафи попросту пытается провести аудит своего продукта за счет сообщества и поднять продажи.

Тогда вознаграждение было увеличено до 250 000 долларов, а «условия задачи» конкретизированы. Исследователям предлагается приобрести кошелек уже содержащий криптовалюту и с неизвестной парольной фразой. Требуется извлечь токены с устройства, и лишь тогда оно будет считаться взломанным. При этом ключ, использующийся для доступа к криптовалюте, не хранится на самом устройстве.

Пока, спустя неделю после этого анонса, ИБ-специалисты убедились лишь в том, что «невзламываемый» Bitfi построен на базе примитивного смартфона на Android, из которого были удалены некоторые компоненты (в основном отвечающие непосредственно за сотовую связь). Выяснилось, что Bitfi работает на базе Mediatek MT6580 и его устройство, по сути, повторяет конструкцию многих смартфонов. При этом за Bitfi просят 150 долларов, тогда как такое железо вряд ли может стоить больше 35 долларов.

Также ИБ-специалисты раскритиковали само задание bug bounty программы. Так, в блоге Cybergibbons известный исследователь Эндрю Тирни (Andrew Tierney) пишет, что предложенная специалистам схема покрывает только один метод атак: хищение средств с украденного устройства Bitfi, которое уже оказалось в руках хакеров. Однако в реальности только этим сценарием дело, конечно, не ограничивается. К примеру, преступники могут осуществить атаку на цепочку поставок и модифицировать кошельки, чтобы те запоминали и пересылали все ключи третьей стороне. Также в устройства могут встроить бэкдор, однако подобные сценарии атак не были включены в bug bounty, а устройство упорно продолжают называть «невзламываемым».

В свою очередь, специалисты Pen Test Partners посвятили анализу Bitfi уже две статьи. Исследователи выявили множество проблем в якобы защищенном аппаратном кошельке. Так, тачскрин сообщается с чипсетом посредством незашифрованного протокола I2C, то есть в теории злоумышленники могут «прослушивать» эти коммуникации и извлечь парольную фразу сразу же после того, как она была набрана на экране.

Хуже того, кошельки оказались практически никак не защищены от несанкционированного вмешательства. То есть Bitfi можно вскрыть и исследовать, а он продолжит работать, как ни в чем не бывало. В итоге злоумышленники могут делать с железом и прошивкой гаджета все, что заблагорассудится, а потом могут собрать его обратно и вернуть вредоносную версию жертве.

Также оказалось возможным получить доступ и сделать дамп файловой системы устройства. А некоторые эксперты и вовсе обнаружили, что ПО, которым укомплектован Bitfi, собирает информацию о пользователях и передает эти данные на серверы компаний Baidu и Adups в Китай. Кроме того, на устройствах были обнаружены стандартные библиотеки MediaTek и примеры предустановленных приложений.

Позже специалистам удалось получить root-доступ к девайсу, и взломанный кошелек продолжил работать, связываться с бэкэндом и позволял войти в учетную запись Bitfi.

В ответ на эти публикации ИБ-специалистов Джон Макафи сначала назвал все обвинениями беспочвенными и заявил, что это происки конкурентов-монополистов. Сегодня, 2 августа 2018 года, Макафи и вовсе опубликовал в своем Twitter серию видео-сообщений, в которых продолжил настаивать на том, что Bitfi является «невзламываемым», потому что «использует блокчейн», а также на устройстве «нет памяти» и ломать там нечего. Поэтому получение root-доступа, по его мнению, абсолютно бесполезно и никак не помогает похитить с кошелька средства.

Кроме того, он назвал всех, кто использует двухфакторную аутентификацию, идиотами (и рассказал, как легко в наши дни осуществить атаку типа SIM swap, то есть перевыпустить SIM-карту жертвы, обратившись к оператору связи и применив социальную инженерию, или клонировать SIM). Обращение Макафи в трех частях можно увидеть ниже.

4 комментария

  1. Dmitry Morozov

    03.08.2018 at 00:07

    В общем это как если бы он выпустил водонепроницаемое решение, которое будет работать до 100 метров под водой при условии что оно не намокнет. А если намочил, то сам дурак(=

  2. s00mbre

    03.08.2018 at 00:44

    Так всё же получается, что задание Джона не выполнили пока.

  3. Anon

    03.08.2018 at 13:13

    Совсем уже от наркоты кукушка съехала

  4. Владиславище

    05.08.2018 at 00:07

    Джону пора на спокойную пенсию… хватит мозги пудрить людям. Почитайте сколько он ICO различных рекламирует, на деле оказывающихся скамом — это так зарабатывает на некогда знаменитой Имя-Фамилии. Многие веря ему — теряют деньги. Запоминайте, Джон Макафи — уже давно НИКТО. Не верите — гугл в помощь.

Оставить мнение