SECBIT Labs обнаружила постоянную уязвимость в приложении Trust Wallet для iOS
Summary:
Компания SECBIT Labs обнаружила давнюю уязвимость в iOS-приложении Trust Wallet, потенциально затрагивающую людей, которые создавали учетные записи с 5 февраля по 21 августа 2018 года. Уязвимость была вызвана двумя функциями тестирования, непреднамеренно включенными в программное обеспечение кошелька iPhone, что позволило злоумышленникам расшифровать закрытые ключи и украсть активы. Несмотря на то, что Trust Wallet подтвердил исправление уязвимости, SECBIT утверждает, что ошибка все еще может повлиять на некоторых пользователей.
Как сообщают эксперты по кибербезопасности SECBIT Labs, давний недостаток безопасности в приложении Trust Wallet для iOS потенциально может повлиять на пользователей, в том числе на тех, кто больше не использует платформу. Уязвимость была активна с 5 февраля по 21 августа 2018 года, затрагивая учетные записи, созданные в течение этого окна. Многие пользователи не обращают внимания на ошибку и, возможно, все еще работают со скомпрометированными кошельками.
Уязвимость была непреднамеренно введена двумя функциями тестирования, которые были вызваны Trust Wallet через библиотеку Trezor, отметили в SECBIT. Эти функции ошибочно включены в программное обеспечение кошелька iPhone, что потенциально позволяет злоумышленникам расшифровывать закрытые ключи пользователей и красть их активы. Учетные записи, связанные с этими ситуациями, по-прежнему уязвимы, предупредил SECBIT.
В SECBIT уточнили, что эта уязвимость не связана с проблемой расширения браузера, которую Trust Wallet устранил в апреле 2023 года. В ответ на полученные данные Trust Wallet подтвердил в своем блоге от 15 февраля, что только несколько пользователей пострадали от уязвимости, все они были проинформированы и переведены на более безопасные кошельки.
SECBIT наткнулся на уязвимость во время расследования масштабного взлома криптовалюты, произошедшего 12 июля 2023 года и затронувшего более 200 цифровых кошельков. Жертвами взлома стали кошельки, которые либо были неактивны в течение длительного времени, либо были защищены на устройствах без подключения к Интернету, что создало проблему для следователей. После тщательного расследования SECBIT выявила потенциальную корреляцию между уязвимостью и ошибкой в приложении Libbitcoin Explorer Bitcoin (BTC), известной как «Milk Sad», которая была обнаружена командой кибербезопасности Distrust 7 августа 2023 года.
Исследование SECBIT показало, что затронутые кошельки были в основном заполнены средствами в период с июля по август 2018 года. Более того, они обнаружили, что небезопасные функции, используемые Trust Wallet для генерации ключевых слов, легко угадываются злоумышленниками. SECBIT выявил эти недостаточно защищенные учетные записи и передал свои выводы в Trust Wallet, а также подчеркнул, что уязвимость должна быть обнародована.
SECBIT признал, что другие разработчики кошельков могли допустить аналогичные ошибки, учитывая, что код Trust Wallet находится в свободном доступе. Они сообщили, что 16 июля 2018 года команда Trezor обновила свою библиотеку безопасными версиями упомянутых функций. Тем не менее, некоторые пользователи, которые создали свои учетные записи в начале 2018 года, все еще могут быть уязвимы, если они никогда не переводили свои средства.
Trust Wallet подтвердил в публичном заявлении, что уязвимости больше не существует в их текущем приложении, обеспечивая безопасность активов пользователей. Они также опровергли утверждения о недостаточной информации, предоставленной их пользователям по этому вопросу.
Изучив адреса жертв, Trust Wallet обнаружил, что только треть из них была связана с упомянутой уязвимостью, а из 2000 затронутых адресов только 600 были сгенерированы его приложением. В свою защиту Trust Wallet заявила, что некоторые из этих адресов могли быть импортированы с других платформ. Они призвали экспертов по безопасности принять участие в их программе поощрения за выявление уязвимостей, подчеркнув свою приверженность безопасности.
Кошелек Klever признал в отчете от 12 июля 2023 года, что некоторые из затронутых учетных записей использовали его сервис. Тем не менее, она утверждала, что эти адреса были импортированы, а не первоначально сгенерированы Klever.
Технический директор Trezor Томаш Сушанка (Tomáš Sušánka) отметил, что спорная функция применяется исключительно в целях тестирования, как это прямо указано в ее исходном коде. Он также указал на нереалистичные ожидания предотвращения неправомерного использования в проектах с открытым исходным кодом.
В заключение, SECBIT призвал пользователей Trust Wallet в уязвимое время мигрировать на новые кошельки и отказаться от скомпрометированных. Они подчеркнули потенциальный риск дальнейших финансовых потерь из-за неосведомленности в этом вопросе.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.