Nowy sprzętowy portfel Bitfi „nie do złamania” wzbudza kontrowersje


Nowy sprzętowy portfel Bitfi „nie do złamania” wzbudza kontrowersje

W zeszłym tygodniu John McAfee zaoferował 100 000 dolarów osobie, której uda się złamać portfel Bitfi – urządzenie reklamowane jako pierwszy na świecie całkowicie „niehakowalny” portfel sprzętowy. Bitfi prosiło nawet, aby wszystkie próby jego złamania były upubliczniane. Choć nikt jeszcze nie odebrał nagrody za kradzież środków z portfela, grupa hakerów i ekspertów od cyberbezpieczeństwa odkryła czynniki, które stawiają bezpieczeństwo urządzenia pod znakiem zapytania.


Portfel Bitfi – niehakowalny portfel sprzętowy czy przerobiony tani smartfon?


Portfel Bitfi został rozebrany na części i, jak mówi Ryan Castellucci, z zawodu inżynier oprogramowania i hardware’owy haker, jest dokładnie tym, na co wygląda. Tanim, wykastrowanym smartfonem z Androidem. Jak informuje inny specjalista, Andrew Tierney, w środku urządzenia znajduje się MediaTek MT6580 – zwykły, tani procesor, który można znaleźć w wielu chińskich telefonach. W przeciwieństwie do Ledgera, nie uświadczymy tu zabezpieczonego chipu (tzw. Secure Element).


Badaczom udało się bez przeszkód dostać do pamięci ROM, dzięki czemu byli w stanie sporządzić listę wszystkich preinstalowanych plików i aplikacji, którą opublikowali na Pastebinie.


Największą uwagę przykuła obecność aplikacji Adups FOTA – znanego backdoora regularnie przesyłającego na chińskie serwery odebrane i wysłane wiadomości SMS, historię połączeń, listę kontaktów oraz lokalizację. Wątpliwości wzbudza także aplikacja Baidu – ma ona możliwość śledzenia GPS oraz WiFi. Jeden z hakerów potwierdził, że powyższe aplikacje faktycznie nawiązują połączenie.


Jakby tego było mało, urządzenie zdaje się nie mieć tzw. zimnego portfela (cold storage) – posiadane kryptowaluty przechowywane są w hot wallecie. Główną różnicą między nimi jest to, że hot wallet ma połączenie z internetem. To właśnie z niego zazwyczaj są kradzione środki, gdy słyszymy o włamaniu na giełdy kryptowalut.


Potwierdził to, McAfee, który pełni rolę doradcy Bitfi, wyjaśniając, że urządzenie „otrzymuje instrukcje prosto z serwera”.


Nie będzie więc chyba nadużyciem stwierdzenie, że omawiany portfel sprzętowy jest równie „niehakowalny”, co portfele online. Portal The Next Web skontaktował się z jednym z badaczy, który wyjaśnił, że wygląda to tak, jakby Bitfi po prostu kupiło dużo tanich, chińskich telefonów i bez większego zastanowienia przerobiło je na portfele sprzętowe. Nie zawracano sobie nawet głowy usunięciem zbędnych czy niebezpiecznych aplikacji.


Trezor i Ledger oczerniają Bitfi?


Jak Bitfi odpowiedziało na te wszystkie zarzuty? Podniosło nagrodę do 250 000 dolarów oraz oskarżyło firmy Trezor i Ledger o zatrudnienie „armii trolli” do oczerniania ich produktu. Przedstawiciel firmy w e-mailu do jednego z portali napisał:


„Zrozumcie, że obecność Bitfi na rynku jest ogromnym zagrożeniem dla Ledgera i Trezora, ponieważ stają się oni zbędni.”


Poruszony został również temat wątpliwego oprogramowania:


„Nie ma absolutnie żadnego chińskiego bloatware’u. Urządzenie ma zainstalowane Google i Baidu, aby móc sprawdzić, czy jest podłączone do internetu. Google jest zablokowane w Chinach, a że mamy też chińskich klientów, to musieliśmy użyć aplikacji Baidu. To wszystko. Nie ma to żadnego związku z bezpieczeństwem urządzenia. Poza tym oferujemy 250 000 dolarów nagrody. Czy widzą Państwo coś podobnego u konkurencji?”


Na koniec porównanie cenowe (z przesyłką i podatkiem VAT): Bitfi kosztuje 150$, Trezor 149$, Ledger 116$.


Obserwuj nas na Telegramie i zapisz się do naszego newslettera poniżej, aby być na bieżąco.