Аналітики CertiK виявили критичну вразливість у смартфоні Saga від Solana, яка дає змогу викрадати криптовалюти користувача.
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. ?… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Фахівці компанії в режимі відновлення змогли встановити на пристрій бекдор і розблокувати доступ до завантажувача операційної системи.
Смартфон відобразив попередження про те, що з цього моменту «цілісність програмного забезпечення не може бути гарантована».
«Будь-які дані, що зберігаються на пристрої, можуть бути доступні зловмисникам», — сказано в повідомленні.
Після цього вони під’єднали смартфон до WiFi, щоб встановити зв’язок із командно-контрольним сервером на ноутбуці. Завдяки root-правам на вразливому пристрої та використанню bash-скриптів дослідники вивели всі біткоїни з вбудованого гаманця.
Додаткових коментарів щодо проблеми в CertiK не надали.
15 листопада 2023 р. | 18:49Апдейт:
CCO HAPI Марк Лецюк уточнив, що в ролику CertiK, який демонструє CertiK, не розкривають якихось відомих вразливостей або загроз безпеці власникам Saga.
«На відео користувач розблоковує завантажувач, що можна зробити на багатьох пристроях Android. У Saga ця додаткова функція за замовчуванням відключена. Однак вона не є вразливістю безпеки — авторизований користувач повинен явно дозволити внесення таких змін у свій пристрій», — пояснив експерт.
Він також додав, що однією з ключових інновацій Saga є Seed Vault — вбудована система зберігання з підвищеною безпекою для сід-фраз і підтримуваних цифрових активів.
«Користувачам Saga завжди рекомендується вмикати гаманці Seed Vault для захисту своїх цифрових активів. Важливо зазначити, що Seed Vault не використовується в гаманці CertiK, показаному на відео», — додав Лецюк.
Уперше Solana Labs представила Saga в червні 2022 року. В апаратне і програмне забезпечення телефону інтегровано функції Web3, що дає змогу використовувати його як апаратний гаманець.
Нагадаємо, продажі Saga стартували 8 травня 2023 року.
