Tuần trước, John McAfee treo thưởng 100,000 USD cho bất kỳ ai có thể đột nhập vào ví Bitfi – một thiết bị được quảng cáo là ví tiền kỹ thuật số “bất khả xâm phạm” đầu tiên trên thế giới.
Bitfi thậm chí còn yêu cầu mọi thứ phải được công khai. Một nhóm các tin tặc và các nhà nghiên cứu bảo mật đặc biệt đang trong tiến trình nghiên cứu và phát hiện ra một loạt các vấn đề an ninh đáng ngờ của ví cứng này.
Trong khi không ai có thể phá vỡ Bitfi để giành được phần thưởng trị giá 100,000 USD thì đã có một nhóm kỹ sư lên tiếng về việc này. Ryan Castellucci, kỹ sư phần mềm kiêm hacker phần cứng nhận xét rằng Bitfi không khác những gì xuất hiện trong các bức ảnh tiếp thị của nó – một chiếc điện thoại Android bị tước bỏ giá rẻ.
Các nhà nghiên cứu đã tải lên một danh sách đầy đủ các thư mục được nạp vào bộ nhớ của Bitfi (ROM) khi khởi chạy thiết bị này. Được công bố công khai thông qua Pastebin, chúng cung cấp một cái nhìn tổng quan đầy đủ về mọi thứ được cài đặt sẵn trên thiết bị Bitfi.
Tuy nhiên rắc rối nhất là ví này có chứa một bộ phần mềm độc hại nổi tiếng được gọi là Adups FOTA, một nền tảng phần mềm gián điệp cho phép truyền dữ liệu, cuộc gọi, vị trí và dữ liệu ứng dụng đến máy chủ ở Trung Quốc cứ 3 ngày một lần. Baidu – một ứng dụng Trung Quốc – có tích hợp chức năng theo dõi WiFi và GPS đã khiến thiết bị này trở nên hoàn hảo cho những ai yêu thích sự riêng tư tuyệt đối.
Cũng không có bộ chứa “lạnh” bên trong, tất cả các khoản tiền dường như được lưu giữ ở một nơi được gọi là ví nóng. Phương pháp lưu trữ tiền mật mã kiểu này được xem là lý do chính dẫn đến vụ hack sàn CoinCheck rúng động thế giới crypto hồi đầu năm nay.
McAfee, cố vấn của Bitfi, khẳng định cái gọi là “chiếc ví” này thực sự là một thiết bị giống như điện thoại nhỏ. “Không có bộ nhớ trong,” McAfee tweet. “Chiếc ví nhận được hướng dẫn của mỗi coin từ các máy chủ.”
Tính bảo mật của Bitfi dựa trên khả năng giữ tất cả các private key và các cụm từ riêng tư an toàn – vì vậy thực sự “tính bất khả xâm phạm” của nó về mặt kỹ thuật cũng giống như bất kỳ giải pháp ví trực tuyến nào khác.
Điều đáng báo động nhất là có vẻ như bộ FOTA Adups và Baidu đã đi vào hoạt động và truyền tải thông tin.
Chúng tôi đã liên lạc với một trong những nhà nghiên cứu, Cybergibbons – chuyên gia tư vấn bảo mật. Ông cho biết rằng họ đã truy cập dữ liệu thông qua một chipset Mediatek mà thiết bị này sử dụng. Chip này, một chip eMMC 8GB, tải các thư viện vào bộ nhớ trong (ROM) khi khởi động để chạy các ứng dụng. Các thiết bị đang sử dụng một chipset Mediatek, thường thì trường hợp các chipset này chạy một bộ nạp khởi động Mediatek trong vài giây đầu tiên khi chúng khởi động.
Nhóm đã sử dụng một công cụ miễn phí, SP Flash Tool, để truy cập dữ liệu và đọc nó hoàn toàn. Nhóm cho hay:
“Vấn đề là dường như thiết bị không thể bị thu nhỏ”, Cyberglip nói thêm. “Tất cả các công cụ bổ sung này khiến bạn có nguy cơ bị theo dõi, rình mò và bị tấn công mạng”.
Tối thiểu hóa, trong trường hợp này, sẽ loại bỏ phần mềm bloatware và các công cụ phần mềm độc hại. Thay vào đó, Bitfi hành xử giống như vừa mua một loạt các điện thoại Android và bán chúng ra mà không quan tâm đến việc bảo vệ dữ liệu nhạy cảm của người dùng.
Ông tiếp tục làm rõ rằng hệ thống tập tin của Bitfi là read only (chỉ đọc), có nghĩa là bất kỳ dữ liệu được lưu trữ trên thiết bị không thể bị ghi đè. Nếu những gì các nhà nghiên cứu nói là chính xác, nó có nghĩa là phần mềm gián điệp có nhiều khả năng được tải trước trên ví trước đó.
Vấn đề chính mà tin tặc phải đối diện là thiết bị này chỉ có một. Nếu họ phá vỡ nó ngay bây giờ – sẽ không có cái thứ 2.
Hiện tại, họ sẽ tiếp tục truy cập nội dung flash của thiết bị nhưng không tương tác hoàn toàn, chỉ cần đăng nhập lưu lượng mạng khi họ thăm dò thêm. Xét cho cùng, họ chỉ quan tâm đến giá trị món tiền thưởng 100,000 USD của McAfee (cộng thêm 50 USD giá trị tiền mã hóa) cho một lần hack thành công.
Chúng tôi cũng liên lạc với Bitfi nhưng vẫn chưa có hồi đáp. Trong khi nhóm vẫn chưa công bố bằng chứng đột nhập được vào thiết bị Bitfi, nhưng những phát hiện của nhóm thực sự làm nổi bật những hoài nghi của công chúng nói chung về việc lưu trữ và sử dụng tiền kỹ thuật só.
Hãy nghiên cứu kỹ trước khi bạn tin tưởng một thiết bị (hoặc một ứng dụng) với tiền của bạn – không có gì là không thể ngăn cản.
Cập nhật ngày 1 tháng 8, [08:58] Bitfi đã phản ứng trước những lời chỉ trích, cáo buộc các nhà sản xuất ví phần cứng là Trezor và Ledger.
“Hãy hiểu rằng ví Bitfi là một mối đe dọa lớn đối với Ledger và Trezor vì nó ám chỉ công nghệ của họ đã lỗi thời”, một phát ngôn viên của Bitfi nói với Hard Fork trong một email. “Vì vậy, họ thuê một đội quân troll để cố gắng làm hỏng danh tiếng của chúng tôi (điều đó cũng là bình thường bởi vì sự thật luôn luôn chiếm ưu thế)”.
“Hoàn toàn không có bloatware Trung Quốc nào”, người phát ngôn tiếp tục nói với Hard Fork. “Thiết bị chỉ đơn giản là có Google và Bidu [sic]. Chúng tôi sử dụng Bidu [sic] bởi vì chúng tôi có khách hàng ở Trung Quốc và Google bị chặn ở đây. Vì vậy, đối với khách hàng Trung Quốc, thiết bị sẽ chỉ đơn giản là Bidu [sic]. Đó là tất cả. Không gì có thể làm ảnh hưởng đến sự an toàn của thiết bị.”
Mặc dù có chút phản ứng nóng nảy nhưng Bitfi vẫn chưa chia sẻ code để xem xét hoặc trực tiếp giải quyết tuyên bố của các nhà nghiên cứu. Nhưng như đã được nói từ đầu, không có gì là bất khả xâm phạm.
Nguồn: Tapchibitcoin.io