У смартфоні від Solana знайшли критичну вразливість

Аналітики CertiK виявили критичну вразливість у смартфоні Saga від Solana, яка дає змогу викрадати криптовалюти користувача.

Фахівці компанії в режимі відновлення змогли встановити на пристрій бекдор і розблокувати доступ до завантажувача операційної системи.

Смартфон відобразив попередження про те, що з цього моменту «цілісність програмного забезпечення не може бути гарантована».

«Будь-які дані, що зберігаються на пристрої, можуть бути доступні зловмисникам», — сказано в повідомленні.

Після цього вони під’єднали смартфон до WiFi, щоб встановити зв’язок із командно-контрольним сервером на ноутбуці. Завдяки root-правам на вразливому пристрої та використанню bash-скриптів дослідники вивели всі біткоїни з вбудованого гаманця.

Додаткових коментарів щодо проблеми в CertiK не надали.

15 листопада 2023 р. | 18:49Апдейт:

CCO HAPI Марк Лецюк уточнив, що в ролику CertiK, який демонструє CertiK, не розкривають якихось відомих вразливостей або загроз безпеці власникам Saga.

«На відео користувач розблоковує завантажувач, що можна зробити на багатьох пристроях Android. У Saga ця додаткова функція за замовчуванням відключена. Однак вона не є вразливістю безпеки — авторизований користувач повинен явно дозволити внесення таких змін у свій пристрій», — пояснив експерт.

Він також додав, що однією з ключових інновацій Saga є Seed Vault — вбудована система зберігання з підвищеною безпекою для сід-фраз і підтримуваних цифрових активів.

«Користувачам Saga завжди рекомендується вмикати гаманці Seed Vault для захисту своїх цифрових активів. Важливо зазначити, що Seed Vault не використовується в гаманці CertiK, показаному на відео», — додав Лецюк.

Уперше Solana Labs представила Saga в червні 2022 року. В апаратне і програмне забезпечення телефону інтегровано функції Web3, що дає змогу використовувати його як апаратний гаманець.

Нагадаємо, продажі Saga стартували 8 травня 2023 року.

Источник

No votes yet.
Please wait...
Поділіться своєю любов'ю

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *