Информационная безопасностьНовости

«Невзламываемый» криптовалютный кошелек Bitfi Джона Макафи оказался примитивным Android-смартфоном

Недавно Джон Макафи  анонсировал у себя в Twitter, что готов выплатить вознаграждение  любому, кто сумеет взломать криптовалютный кошелек Bitfi, созданный одноименной компанией совместно с самим Макафи. Он назвал Bitfi «невзламываемым» и призвал скептиков убедиться в этом лично.

For all you naysayers who claim that “nothing is unhackable” & who don’t believe that my Bitfi wallet is truly the world’s first unhackable device, a $100,000 bounty goes to anyone who can hack it. Money talks, bullshit walks. Details on https://t.co/ATFaxwUzQC

— John McAfee (@officialmcafee) July 24, 2018

Сначала Макафи пообещал исследователям вознаграждение в размере 100 000 долларов США, однако скептики отметили, что размер предложенной награды подозрительно скромен для «невзламываемого» решения (за которое к тому же придется отдать 120 долларов), и заподозрили, что Макафи попросту пытается провести аудит своего продукта за счет сообщества и поднять продажи.

Тогда вознаграждение было увеличено до 250 000 долларов, а «условия задачи» конкретизированы. Исследователям предлагается приобрести кошелек уже содержащий криптовалюту и с неизвестной парольной фразой. Требуется извлечь токены с устройства, и лишь тогда оно будет считаться взломанным. При этом ключ, использующийся для доступа к криптовалюте, не хранится на самом устройстве.

Пока, спустя неделю после этого анонса, ИБ-специалисты убедились лишь в том, что «невзламываемый» Bitfi построен на базе примитивного смартфона на Android, из которого были удалены некоторые компоненты (в основном отвечающие непосредственно за сотовую связь). Выяснилось, что Bitfi работает на базе Mediatek MT6580 и его устройство, по сути, повторяет конструкцию многих смартфонов. При этом за Bitfi просят 150 долларов, тогда как такое железо вряд ли может стоить больше 35 долларов.

So now we have pictures of the bare @Bitfi6 board.

It’s just a MEDIATEK MT6580.

No sign of a secure element.

Thanks to @Mindstalker612 pic.twitter.com/uhtYDxcQlm

— Ask Cybergibbons! (@cybergibbons) July 29, 2018

Также ИБ-специалисты раскритиковали само задание bug bounty программы. Так, в блоге Cybergibbons известный исследователь Эндрю Тирни (Andrew Tierney) пишет, что предложенная специалистам схема покрывает только один метод атак: хищение средств с украденного устройства Bitfi, которое уже оказалось в руках хакеров. Однако в реальности только этим сценарием дело, конечно, не ограничивается. К примеру, преступники могут осуществить атаку на цепочку поставок и модифицировать кошельки, чтобы те запоминали и пересылали все ключи третьей стороне. Также в устройства могут встроить бэкдор, однако подобные сценарии атак не были включены в bug bounty, а устройство упорно продолжают называть «невзламываемым».

В свою очередь, специалисты Pen Test Partners посвятили анализу Bitfi уже две статьи. Исследователи выявили множество проблем в якобы защищенном аппаратном кошельке. Так, тачскрин сообщается с чипсетом посредством незашифрованного протокола I2C, то есть в теории злоумышленники могут «прослушивать» эти коммуникации и извлечь парольную фразу сразу же после того, как она была набрана на экране.

Хуже того, кошельки оказались практически никак не защищены от несанкционированного вмешательства. То есть Bitfi можно вскрыть и исследовать, а он продолжит работать, как ни в чем не бывало. В итоге злоумышленники могут делать с железом и прошивкой гаджета все, что заблагорассудится, а потом могут собрать его обратно и вернуть вредоносную версию жертве.

Также оказалось возможным получить доступ и сделать дамп файловой системы устройства. А некоторые эксперты и вовсе обнаружили, что ПО, которым укомплектован Bitfi, собирает информацию о пользователях и передает эти данные на серверы компаний Baidu и Adups в Китай. Кроме того, на устройствах были обнаружены стандартные библиотеки MediaTek и примеры предустановленных приложений.

Update on the BitFi device so far

Most of the firmware looks just like a normal MTK phone, including:

— A Baidu GPS/WIFI tracker

— The well-known Adups FOTA malware suite

— The entire Mediatek library of example apps

— A tracker, capable of logging all activity on the device

1/2

— OverSoft (@OverSoftNL) July 30, 2018

To those that say the people hating on Bitfi don’t have one in their hands.

Look at this.

Guess what? The device has no idea it’s been tampered with. pic.twitter.com/7pbEyhViFy

— Ask Cybergibbons! (@cybergibbons) July 31, 2018

Позже специалистам удалось получить root-доступ к девайсу, и взломанный кошелек продолжил работать, связываться с бэкэндом и позволял войти в учетную запись Bitfi.

Short update without going into too much detail about BitFi:

We have root access, a patched firmware and can confirm the BitFi wallet still connect happily to the dashboard.

There are NO checks in place to prevent that like claimed by BitFi.

— OverSoft (@OverSoftNL) August 1, 2018

В ответ на эти публикации ИБ-специалистов Джон Макафи сначала назвал все обвинениями беспочвенными и заявил, что это происки конкурентов-монополистов. Сегодня, 2 августа 2018 года, Макафи и вовсе опубликовал в своем Twitter серию видео-сообщений, в которых продолжил настаивать на том, что Bitfi является «невзламываемым», потому что «использует блокчейн», а также на устройстве «нет памяти» и ломать там нечего. Поэтому получение root-доступа, по его мнению, абсолютно бесполезно и никак не помогает похитить с кошелька средства.

Кроме того, он назвал всех, кто использует двухфакторную аутентификацию, идиотами (и рассказал, как легко в наши дни осуществить атаку типа SIM swap, то есть перевыпустить SIM-карту жертвы, обратившись к оператору связи и применив социальную инженерию, или клонировать SIM). Обращение Макафи в трех частях можно увидеть ниже.

The FUD surrounding the unhackablility of the BitFi wallet, part 1: pic.twitter.com/LNgteEqR30

— John McAfee (@officialmcafee) August 2, 2018

Part 2: The unhackable wallet: pic.twitter.com/wOzhc1aPuG

— John McAfee (@officialmcafee) August 2, 2018

Part 3. The unhackable wallet. pic.twitter.com/y3OAy6lE9M

— John McAfee (@officialmcafee) August 2, 2018