SECBIT Labs scopre una vulnerabilità persistente nell'app iOS di Trust Wallet
Summary:
SECBIT Labs ha scoperto una vulnerabilità persistente nell'app iOS di Trust Wallet, potenzialmente influenzando le persone che hanno creato account dal 5 febbraio al 21 agosto 2018. Il difetto è stato introdotto da due funzioni di test inavvertitamente incorporate nel software del portafoglio per iPhone, consentendo ai malintenzionati di decifrare le chiavi private e rubare risorse. Nonostante Trust Wallet abbia confermato una correzione per il difetto, SECBIT sostiene che il bug potrebbe ancora interessare alcuni utenti.
Una falla di sicurezza persistente nell'applicazione iOS di Trust Wallet potrebbe potenzialmente avere un impatto sugli utenti, compresi quelli che non utilizzano più la piattaforma, come riportato dagli esperti informatici di SECBIT Labs. La vulnerabilità è stata attiva dal 5 febbraio al 21 agosto 2018 e interessava gli account creati durante questa finestra. Molti utenti rimangono ignari del bug e potrebbero ancora operare con portafogli compromessi.
La falla è stata introdotta involontariamente da due funzioni di test che sono state richiamate da Trust Wallet attraverso una libreria Trezor, ha osservato SECBIT. Queste funzioni sono state erroneamente incorporate nel software del portafoglio dell'iPhone, consentendo potenzialmente ad attori malintenzionati di decifrare le chiavi private degli utenti e rubare i loro beni. Gli account collegati a queste situazioni sono ancora esposti, ha avvertito SECBIT.
SECBIT ha chiarito che questa vulnerabilità non è correlata al problema dell'estensione del browser che Trust Wallet ha risolto nell'aprile 2023. In risposta ai risultati, Trust Wallet ha confermato nel suo post sul blog del 15 febbraio che solo una manciata di utenti è stata colpita dalla vulnerabilità, tutti informati e trasferiti su portafogli più sicuri.
SECBIT si è imbattuta nella vulnerabilità mentre indagava su un vasto hack di criptovaluta avvenuto il 12 luglio 2023, che ha interessato oltre 200 portafogli digitali. L'hacking ha colpito portafogli che sono rimasti inattivi per molto tempo o sono stati protetti su dispositivi senza connettività Internet, ponendo una sfida per gli investigatori. Dopo un'indagine approfondita, SECBIT ha identificato una potenziale correlazione tra la vulnerabilità e un bug nell'app Libbitcoin Explorer Bitcoin (BTC) nota come "Milk Sad", scoperta dal team di sicurezza informatica di Distrust il 7 agosto 2023.
Lo studio di SECBIT ha rivelato che i wallet interessati sono stati popolati principalmente da fondi tra luglio e agosto 2018. Inoltre, hanno scoperto che le funzioni non sicure utilizzate da Trust Wallet per generare parole chiave erano facilmente indovinabili dagli aggressori. SECBIT ha identificato questi account poco protetti e ha trasmesso i suoi risultati a Trust Wallet, oltre a sottolineare che la vulnerabilità dovrebbe essere resa pubblica.
SECBIT ha riconosciuto che altri sviluppatori di wallet potrebbero aver commesso errori simili, dato che il codice di Trust Wallet è disponibile gratuitamente. Hanno riferito che il team di Trezor ha aggiornato la propria libreria con versioni sicure delle funzioni citate il 16 luglio 2018. Detto questo, alcuni utenti che hanno creato i loro account nella prima parte del 2018 potrebbero essere ancora vulnerabili se non hanno mai spostato i loro fondi.
Trust Wallet ha confermato in una dichiarazione pubblica che la falla non esiste più nella loro attuale app, garantendo la sicurezza degli asset degli utenti. Hanno anche confutato le affermazioni di informazioni inadeguate fornite ai loro utenti sulla questione.
Esaminando gli indirizzi delle vittime, Trust Wallet ha scoperto che solo un terzo di essi era collegato alla suddetta falla e che dei 2.000 indirizzi interessati, solo 600 sono stati generati dalla sua app. In sua difesa, Trust Wallet ha affermato che alcuni di questi indirizzi potrebbero essere stati importati da altre piattaforme. Hanno incoraggiato gli esperti di sicurezza a partecipare al loro programma di ricompense per l'identificazione delle vulnerabilità, sottolineando il loro impegno per la sicurezza.
Il wallet Klever ha riconosciuto in un rapporto del 12 luglio 2023 che alcuni degli account interessati avevano utilizzato il suo servizio. Ciononostante, essa ha affermato che tali indirizzi sono stati importati e non originariamente generati dalla Klever.
Il Chief Technology Officer di Trezor, Tomáš Sušánka, ha osservato che l'applicazione della controversa funzione era esclusivamente a scopo di test, come stabilito esplicitamente nel suo codice sorgente. Ha inoltre sottolineato l'aspettativa irrealistica di prevenire l'uso improprio nei progetti open source.
In conclusione, SECBIT ha esortato gli utenti di Trust Wallet durante il periodo vulnerabile a migrare verso nuovi wallet e ad abbandonare quelli compromessi. Hanno sottolineato il potenziale rischio di ulteriori perdite finanziarie a causa dell'inconsapevolezza del problema.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.