SECBIT Labs deckt hartnäckige Schwachstelle in der iOS-App von Trust Wallet auf
Summary:
SECBIT Labs hat eine anhaltende Schwachstelle in der iOS-App von Trust Wallet entdeckt, die potenziell betroffene Personen betrifft, die zwischen dem 5. Februar und dem 21. August 2018 Konten erstellt haben. Die Schwachstelle wurde durch zwei Testfunktionen eingeführt, die versehentlich in die iPhone-Wallet-Software integriert wurden und es böswilligen Akteuren ermöglichten, private Schlüssel zu entschlüsseln und Vermögenswerte zu stehlen. Obwohl Trust Wallet einen Fix für den Fehler bestätigt hat, behauptet SECBIT, dass der Fehler immer noch einige Benutzer betreffen kann.
Eine anhaltende Sicherheitslücke in der iOS-Anwendung von Trust Wallet könnte sich möglicherweise auf Benutzer auswirken, einschließlich derjenigen, die die Plattform nicht mehr nutzen, wie die Cyberexperten von SECBIT Labs berichten. Die Sicherheitslücke war vom 5. Februar bis zum 21. August 2018 aktiv und betraf Konten, die in diesem Zeitraum erstellt wurden. Viele Benutzer bemerken den Fehler nicht und arbeiten möglicherweise immer noch mit kompromittierten Wallets.
Der Fehler wurde unbeabsichtigt durch zwei Testfunktionen eingeführt, die von Trust Wallet über eine Trezor-Bibliothek aufgerufen wurden, so SECBIT. Diese Funktionen wurden fälschlicherweise in die iPhone-Wallet-Software integriert und ermöglichen es böswilligen Akteuren, die privaten Schlüssel der Benutzer zu entschlüsseln und ihr Vermögen zu stehlen. Konten, die mit diesen Situationen in Verbindung stehen, sind immer noch exponiert, warnte SECBIT.
SECBIT stellte klar, dass diese Schwachstelle nichts mit dem Problem der Browsererweiterung zu tun hat, das Trust Wallet im April 2023 behoben hat. Als Reaktion auf die Ergebnisse bestätigte Trust Wallet in seinem Blogbeitrag vom 15. Februar, dass nur eine Handvoll Benutzer von der Sicherheitslücke betroffen waren, die alle informiert und auf sicherere Wallets umgeleitet wurden.
SECBIT stieß auf die Schwachstelle, als es einen umfangreichen Kryptowährungs-Hack untersuchte, der sich am 12. Juli 2023 ereignete und über 200 digitale Geldbörsen betraf. Der Hack befiel Wallets, die entweder lange Zeit inaktiv waren oder auf Geräten ohne Internetverbindung gesichert waren, was eine Herausforderung für die Ermittler darstellte. Nach gründlicher Untersuchung identifizierte SECBIT eine potenzielle Korrelation zwischen der Schwachstelle und einem Fehler in der Libbitcoin Explorer Bitcoin (BTC)-App namens "Milk Sad", der am 7. August 2023 vom Cybersicherheitsteam von Distrust entdeckt wurde.
Die Studie von SECBIT ergab, dass die betroffenen Wallets zwischen Juli und August 2018 hauptsächlich mit Geldern befüllt wurden. Darüber hinaus stellten sie fest, dass die unsicheren Funktionen, die Trust Wallet zur Generierung von Schlüsselwörtern verwendet, von Angreifern leicht erraten werden konnten. SECBIT identifizierte diese unzureichend geschützten Konten und übermittelte seine Ergebnisse an Trust Wallet und betonte, dass die Schwachstelle öffentlich gemacht werden sollte.
SECBIT räumte ein, dass andere Wallet-Entwickler ähnliche Fehler gemacht haben könnten, da der Code von Trust Wallet frei verfügbar ist. Sie berichteten, dass das Trezor-Team seine Bibliothek am 16. Juli 2018 mit sicheren Versionen der genannten Funktionen aktualisiert hat. Allerdings könnten einige Benutzer, die ihre Konten Anfang 2018 erstellt haben, immer noch anfällig sein, wenn sie ihr Geld nie verschoben haben.
Trust Wallet bestätigte in einer öffentlichen Erklärung, dass der Fehler in ihrer aktuellen App nicht mehr existiert, um die Sicherheit des Vermögens der Benutzer zu gewährleisten. Sie wiesen auch Behauptungen zurück, dass ihre Nutzer nur unzureichend über das Problem informiert worden seien.
Bei der Überprüfung der Opferadressen stellte Trust Wallet fest, dass nur ein Drittel von ihnen mit der genannten Schwachstelle in Verbindung gebracht wurde und dass von den betroffenen 2.000 Adressen nur 600 von der App generiert wurden. Zu seiner Verteidigung behauptete Trust Wallet, dass einige dieser Adressen möglicherweise von anderen Plattformen importiert wurden. Sie ermutigten Sicherheitsexperten, an ihrem Bounty-Programm zur Identifizierung von Schwachstellen teilzunehmen, und unterstrichen damit ihr Engagement für die Sicherheit.
Die Klever-Wallet räumte in einem Bericht vom 12. Juli 2023 ein, dass einige der betroffenen Konten ihren Dienst genutzt hatten. Sie behauptete jedoch, dass diese Adressen importiert und nicht ursprünglich von Klever generiert worden seien.
Tomáš Sušánka, Chief Technology Officer von Trezor, wies darauf hin, dass die umstrittene Funktion ausschließlich zu Testzwecken eingesetzt wurde, wie es im Quellcode ausdrücklich festgelegt ist. Er wies außerdem auf die unrealistische Erwartung hin, Missbrauch in Open-Source-Projekten zu verhindern.
Zusammenfassend forderte SECBIT die Nutzer von Trust Wallet während der verwundbaren Zeit auf, auf neue Wallets zu migrieren und die kompromittierten aufzugeben. Sie betonten das potenzielle Risiko weiterer finanzieller Verluste aufgrund der Unkenntnis des Themas.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.