CertiK заявила о «критической уязвимости» в смартфоне от Solana

Wallet_Vulnerability
Wallet_Vulnerability

Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя. 

Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы. 

Смартфон отобразил предупреждение о том, что с этого момента «целостность программного обеспечения не может быть гарантирована».

«Любые данные, хранящиеся на устройстве, могут быть доступны злоумышленникам», — сказано в сообщении.

После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька.

Дополнительных комментариев по проблеме в CertiK не предоставили.

Апдейт:

Внештатный советник Solana и CCO HAPI Марк Лецюк уточнил, что в демонстрируемом ролике CertiK не раскрываются какие-либо известные уязвимости или угрозы безопасности для владельцев Saga.

«На видео пользователь разблокирует загрузчик, что можно сделать на многих устройствах Android. В Saga эта дополнительная функция по умолчанию отключена. Однако она не является уязвимостью безопасности — авторизованный пользователь должен явно разрешить внесение таких изменений в свое устройство», — объяснил эксперт.

Он также добавил, что одной из ключевых инноваций Saga является Seed Vault — встроенная система хранения с повышенной безопасностью для сид-фраз и поддерживаемых цифровых активов.

«Пользователям Saga всегда рекомендуется включать кошельки Seed Vault для защиты своих цифровых активов. Важно отметить, что Seed Vault не используется в кошельке CertiK, показанном на видео», — добавил Лецюк.

Аналогичное заявление сделал и главный инженер Saga Стивен Лавер.

Апдейт:

CertiK сообщил, что изложенные ими данные признаны компаниями Samsung и Apple.

Впервые Solana Labs представила Saga в июне 2022 года. В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек. 

Напомним, продажи Saga стартовали 8 мая 2023 года.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK