Джон Макафи создал «невзламываемый» биткоин-кошелёк. Через неделю устройство взломали
Бизнесмен уверен, что на самом деле беспокоиться не о чем.
В конце июля 2018 года предприниматель Джон Макафи объявил в Твиттере, что готов выплатить 100 тысяч долларов тому, кто взломает криптовалютный кошелёк Bitfi. Он утверждал, что Bitfi — первый «невзламываемый» продукт в мире.
После критики со стороны сообщества, компания увеличила вознаграждение до 250 тысяч долларов и утвердила конкретные условия получения награды. Кошелёк Bitfi – это отдельный бэкэнд-сервис и аппаратное устройство, которое якобы обеспечивает дополнительный уровень защиты.
Исследователям предложили купить устройство, на котором уже есть некоторое количество криптовалюты, защищённое неизвестным паролем, не хранящимся на самом устройстве. По мнению Bitfi, чтобы устройство считалось взломанным, нужно было вывести деньги с кошелька.
Экспертам потребовалось чуть больше недели, чтобы опровергнуть заявление Макафи. Сначала выяснилось, что аппаратное устройство представляет собой упрощённый Android-смартфон, из которого убрали отвечающие за сотовую связь компоненты.
Разобрав устройство, исследователи обнаружили в нём сразу несколько проблем с безопасностью. Например, экран оказался небезопасно соединён с платой по незашифрованному протоколу: это значит, что злоумышленники могут просматривать, что пользователи набирают на экране.
Кроме того, кошелёк никак не реагировал на стороннее вмешательство —устройство можно разобрать и исследовать, а оно продолжит работать. Таким образом можно, например, перепрошить Bitfi и вернуть его владельцу. Похоже, что создатели Bitfi не потрудились даже убрать стандартные сервисы и библиотеки при переделке Android-смартфонов: эксперты обнаружили следы передачи данных на сервера компаний Baidu и Adups.
1 августа нидерландский эксперт, известный под псевдонимом «OverSoft», заявил, что получил root-права к «невзламываемому» кошельку и скопировал файловую систему. В твиттере исследователь рассказал, что его группа изменила прошивку Bitfi, но устройство продолжило подключаться к сервису и входить в аккаунт.
Компания ответила не сразу, но заявила, что не может подтвердить взлом своей системы. Однако сразу после этого гендиректор Bitfi объявил о второй программе по поиску уязвимостей, в которой предлагалась награда уже в 25 раз меньше предыдущей — всего 10 тысяч долларов.
OverSoft в ответ на это заявил, что компания на самом деле в принципе не собиралась платить кому-либо из хакеров — «это был чистый маркетинг». После этого исследователь показал, как кошелёк можно взломать, даже не покупая само устройство за 120 долларов: сервис запускается на любом компьютере с эмулятором Android.
После этого к обсуждению присоединился лично Джон Макафи. Он записал серию видео, в которых назвал идиотами тех, кто пользуется двухфакторной аутентификацией, и обвинил хакеров в работе на конкурентов.
Бизнесмен заявил, что кошелёк нельзя считать взломанным, пока исследователям не удалось вывести с него деньги. Но OverSoft с ним не согласился и ответил на видео серией твитов.
В 2013 году из-за преследования местных властей Макафи сбежал в Гватемалу, но его депортировали в США. После этого предприниматель анонсировал устройство за 100 долларов, которое якобы сможет защитить пользователей от слежки АНБ. Тогда эксперты также раскритиковали разработку из-за слабой безопасности
#офтоп #истории