SECBIT Labs, Trust Wallet'ın iOS Uygulamasındaki Kalıcı Güvenlik Açığını Ortaya Çıkardı
Summary:
SECBIT Labs, Trust Wallet'ın iOS uygulamasında, 5 Şubat - 21 Ağustos 2018 tarihleri arasında hesap oluşturan potansiyel olarak etkili kişiler olan kalıcı bir güvenlik açığı keşfetti. Kusur, iPhone cüzdan yazılımına yanlışlıkla dahil edilen ve kötü aktörlerin özel anahtarları deşifre etmesine ve varlıkları çalmasına olanak tanıyan iki test işlevi tarafından ortaya çıkarıldı. Trust Wallet'ın kusur için bir düzeltmeyi onaylamasına rağmen, SECBIT hatanın hala bazı kullanıcıları etkileyebileceğini savunuyor.
SECBIT Labs'taki siber uzmanlar tarafından bildirildiği üzere, Trust Wallet'ın iOS uygulamasında devam eden bir güvenlik açığı, platformu artık kullanmayanlar da dahil olmak üzere kullanıcıları potansiyel olarak etkileyebilir. Güvenlik açığı 5 Şubat - 21 Ağustos 2018 tarihleri arasında etkindi ve bu pencere sırasında oluşturulan hesapları etkiledi. Birçok kullanıcı hatadan habersiz kalır ve hala güvenliği ihlal edilmiş cüzdanlarla çalışıyor olabilir.
SECBIT, kusurun Trust Wallet tarafından bir Trezor kütüphanesi aracılığıyla çağrılan iki test işlevi tarafından kasıtsız olarak ortaya çıktığını belirtti. Bu işlevler yanlışlıkla iPhone cüzdan yazılımına dahil edildi ve potansiyel olarak kötü niyetli aktörlerin kullanıcıların özel anahtarlarını deşifre etmesine ve varlıklarını çalmasına olanak tanıdı. SECBIT, bu durumlarla bağlantılı hesapların hala açığa çıktığı konusunda uyardı.
SECBIT, bu güvenlik açığının Trust Wallet'ın Nisan 2023'te ele aldığı tarayıcı uzantısı sorunuyla ilgisi olmadığını açıkladı. Bulgulara yanıt olarak Trust Wallet, 15 Şubat tarihli blog gönderisinde güvenlik açığından yalnızca bir avuç kullanıcının etkilendiğini ve bunların hepsinin bilgilendirildiğini ve daha güvenli cüzdanlara aktarıldığını doğruladı.
SECBIT, 12 Temmuz 2023'te meydana gelen ve 200'den fazla dijital cüzdanı etkileyen kapsamlı bir kripto para hackini araştırırken güvenlik açığına rastladı. Saldırı, uzun süre etkin olmayan veya internet bağlantısı olmayan cihazlarda güvence altına alınan cüzdanları kurban etti ve araştırmacılar için bir zorluk oluşturdu. Kapsamlı bir araştırmanın ardından SECBIT, güvenlik açığı ile 7 Ağustos 2023'te Distrust siber güvenlik ekibi tarafından keşfedilen "Milk Sad" olarak bilinen Libbitcoin Explorer Bitcoin (BTC) uygulamasındaki bir hata arasında potansiyel bir ilişki tespit etti.
SECBIT'in çalışması, etkilenen cüzdanların öncelikle Temmuz ve Ağustos 2018 arasında fonlarla doldurulduğunu ortaya koydu. Ayrıca, Trust Wallet tarafından anahtar kelimeler oluşturmak için kullanılan güvenli olmayan işlevlerin saldırganlar tarafından kolayca tahmin edilebilir olduğunu buldular. SECBIT, bu yetersiz korunan hesapları tespit etti ve bulgularını Trust Wallet'a iletti ve güvenlik açığının kamuya açıklanması gerektiğini vurguladı.
SECBIT, Trust Wallet'ın kodunun ücretsiz olarak mevcut olduğu göz önüne alındığında, diğer cüzdan geliştiricilerinin de benzer hatalar yapmış olabileceğini kabul etti. Trezor ekibinin, 16 Temmuz 2018'de kütüphanelerini belirtilen işlevlerin güvenli sürümleriyle güncellediğini bildirdiler. Bununla birlikte, hesaplarını 2018'in başlarında oluşturan bazı kullanıcılar, fonlarını hiç taşımamışlarsa hala savunmasız olabilirler.
Trust Wallet, yaptığı açıklamada, kusurun artık mevcut uygulamalarında bulunmadığını ve kullanıcıların varlıklarının güvenliğini sağladığını doğruladı. Ayrıca, kullanıcılarına konu hakkında yetersiz bilgi verildiği iddialarını da reddettiler.
Kurban adreslerini inceleyen Trust Wallet, bunların yalnızca üçte birinin söz konusu kusurla bağlantılı olduğunu ve etkilenen 2.000 adresten yalnızca 600'ünün uygulaması tarafından oluşturulduğunu keşfetti. Trust Wallet savunmasında, bu adreslerden bazılarının diğer platformlardan içe aktarılmış olabileceğini iddia etti. Güvenlik uzmanlarını, güvenlik açıklarını belirlemek için ödül programlarına katılmaya teşvik ettiler ve güvenliğe olan bağlılıklarının altını çizdiler.
Klever cüzdanı, 12 Temmuz 2023 tarihli bir raporda, etkilenen hesaplardan bazılarının hizmetini kullandığını kabul etti. Bununla birlikte, bu adreslerin ithal edildiğini ve orijinal olarak Kliver tarafından oluşturulmadığını iddia etti.
Trezor'un Baş Teknoloji Sorumlusu Tomáš Sušánka, tartışmalı işlevin uygulamasının, kaynak kodunda açıkça belirtildiği gibi, yalnızca test amaçlı olduğunu belirtti. Ayrıca, açık kaynaklı projelerde kötüye kullanımı önlemenin gerçekçi olmayan beklentisine dikkat çekti.
Sonuç olarak SECBIT, savunmasız dönemde Trust Wallet kullanıcılarını yeni cüzdanlara geçmeye ve güvenliği ihlal edilmiş olanları terk etmeye çağırdı. Konunun farkında olunmaması nedeniyle daha fazla mali kayıp riskini vurguladılar.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.