SECBIT Labs découvre une vulnérabilité persistante dans l’application iOS de Trust Wallet
Summary:
SECBIT Labs a découvert une vulnérabilité persistante dans l’application iOS de Trust Wallet, potentiellement affectant les personnes qui ont créé des comptes entre le 5 février et le 21 août 2018. La faille a été introduite par deux fonctions de test incorporées par inadvertance dans son logiciel de portefeuille iPhone, permettant aux acteurs malveillants de déchiffrer les clés privées et de voler des actifs. Bien que Trust Wallet ait confirmé un correctif pour la faille, SECBIT maintient que le bogue peut encore affecter certains utilisateurs.
Une faille de sécurité persistante dans l’application iOS de Trust Wallet pourrait potentiellement avoir un impact sur les utilisateurs, y compris ceux qui n’utilisent plus la plate-forme, comme l’ont rapporté les experts en cybersécurité de SECBIT Labs. La vulnérabilité était active du 5 février au 21 août 2018, affectant les comptes créés pendant cette période. De nombreux utilisateurs ne sont pas conscients du bug et peuvent encore fonctionner avec des portefeuilles compromis.
La faille a été introduite involontairement par deux fonctions de test qui ont été appelées par Trust Wallet via une bibliothèque Trezor, a noté le SECBIT. Ces fonctions ont été incorporées par erreur dans le logiciel du portefeuille iPhone, permettant ainsi à des acteurs malveillants de déchiffrer les clés privées des utilisateurs et de voler leurs actifs. Les comptes liés à ces situations sont toujours exposés, a averti le SECBIT.
SECBIT a précisé que cette vulnérabilité n’est pas liée au problème d’extension de navigateur que Trust Wallet a résolu en avril 2023. En réponse à ces résultats, Trust Wallet a confirmé dans son article de blog du 15 février que seule une poignée d’utilisateurs ont été touchés par la vulnérabilité, qui ont tous été informés et transférés vers des portefeuilles plus sûrs.
SECBIT est tombé sur la vulnérabilité alors qu’il enquêtait sur un vaste piratage de crypto-monnaie qui s’est produit le 12 juillet 2023, affectant plus de 200 portefeuilles numériques. Le piratage a été victime de portefeuilles qui étaient inactifs pendant une longue période ou qui étaient sécurisés sur des appareils sans connexion Internet, ce qui a posé un défi aux enquêteurs. Après une enquête approfondie, SECBIT a identifié une corrélation potentielle entre la vulnérabilité et un bogue dans l’application Libbitcoin Explorer Bitcoin (BTC) connu sous le nom de « Milk Sad », qui a été découvert par l’équipe de cybersécurité de Distrust le 7 août 2023.
L’étude de SECBIT a révélé que les portefeuilles concernés étaient principalement peuplés de fonds entre juillet et août 2018. De plus, ils ont constaté que les fonctions non sécurisées utilisées par Trust Wallet pour générer des mots-clés étaient facilement devinables par les attaquants. Le SECBIT a identifié ces comptes sous-protégés et a transmis ses conclusions à Trust Wallet, en plus de souligner que la vulnérabilité devait être rendue publique.
SECBIT a reconnu que d’autres développeurs de portefeuilles auraient pu commettre des erreurs similaires étant donné que le code de Trust Wallet est disponible gratuitement. Ils ont signalé que l’équipe de Trezor a mis à jour sa bibliothèque avec des versions sécurisées des fonctions citées le 16 juillet 2018. Cela dit, certains utilisateurs qui ont créé leur compte au début de l’année 2018 peuvent encore être vulnérables s’ils n’ont jamais transféré leurs fonds.
Trust Wallet a confirmé dans une déclaration publique que la faille n’existe plus dans son application actuelle, ce qui garantit la sécurité des actifs des utilisateurs. Ils ont également réfuté les allégations selon lesquelles les informations fournies à leurs utilisateurs sur la question étaient inadéquates.
En examinant les adresses des victimes, Trust Wallet a découvert que seulement un tiers d’entre elles étaient liées à la faille mentionnée et que sur les 2 000 adresses concernées, seules 600 étaient générées par son application. Pour sa défense, Trust Wallet a affirmé que certaines de ces adresses pourraient avoir été importées d’autres plateformes. Ils ont encouragé les experts en sécurité à participer à leur programme de primes pour identifier les vulnérabilités, soulignant ainsi leur engagement en faveur de la sécurité.
Le portefeuille Klever a reconnu dans un rapport du 12 juillet 2023 que certains des comptes concernés avaient utilisé son service. Néanmoins, elle a affirmé que ces adresses avaient été importées et non générées à l’origine par Klever.
Le directeur de la technologie de Trezor, Tomáš Sušánka, a noté que l’application de la fonction controversée était uniquement à des fins de test, comme stipulé explicitement dans son code source. Il a en outre souligné l’attente irréaliste d’empêcher les abus dans les projets open source.
En conclusion, le SECBIT a exhorté les utilisateurs de Trust Wallet pendant la période de vulnérabilité à migrer vers de nouveaux portefeuilles et à abandonner ceux compromis. Ils ont souligné le risque potentiel de nouvelles pertes financières en raison de l’ignorance de la question.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.