Ví tiền điện tử tồn lại lỗ hổng bảo mật

11:00 | 09/03/2018 | LỖ HỔNG ATTT

Các nhà nghiên cứu tại Trung Quốc nhận thấy hai trong số những ví tiền điện tử phổ biến nhất là Bitcoin Wallet và Jaxx Blockchain Wallet đều có những lỗ hổng bảo mật đáng kể.

Wei Li, nghiên cứu viên cao cấp của công ty nghiên cứu Cheetah Mobile Blockchain Research Lab (Trung Quốc) cho biết, Bitcoin Wallet tương đối phổ biến trong cộng đồng tiền điện tử với gần 2 triệu ví được tạo ra cho đến nay.

Tuy nhiên, khi nghiên cứu sâu hơn vào nền tảng ví, chúng tôi phát hiện rằng danh sách lưu trữ thông tin cần thiết để truy cập vào tài khoản ví chỉ được lưu trữ dưới dạng văn bản thuần túy với tệp /data/data/com.bitcoin.mwallet của hệ điều hành điện thoại.

Điều đó có nghĩa là ví không bảo vệ tài sản số của người dùng mà sẽ chuyển sang hệ điều hành điện thoại. Nếu tin tặc muốn chiếm đoạt Bitcoin, tất cả những gì chúng phải làm là lợi dụng một trong những lỗ hổng đó để tìm cách xâm nhập và lấy cắp khóa cá nhân.

Tin tặc có thể truy cập Bitcoin Wallet mà không cần thông qua một trong các ứng dụng. Thay vào đó, chúng chỉ cần kết nối cổng sạc của điện thoại với một thiết bị sạc mà chúng kiểm soát và người dùng có thể mất tất cả chỉ trong vài phút.

Không giống như Bitcoin Wallet, Jaxx Blockchain Wallet cung cấp nhiều tính năng hơn, bao gồm cả việc giao dịch tiền điện tử, chuyển đổi giữa nhiều loại tiền tệ, cũng như khả năng quản lý một số loại tiền tệ khác nhau.

Tuy nhiên, khi nhìn vào cơ chế sao lưu dữ liệu, Cheetah Mobile đã phát hiện ra các lỗ hổng còn nghiêm trọng hơn Bitcoin Wallet.

Wei Li nói rằng, tin tặc muốn đánh cắp khóa cá nhân chỉ cần tìm tệp tin dữ liệu cá nhân và giải mã.

Không rõ vì lý do gì mà nhóm phát triển của Jaxx Blockchain Wallet đã không tắt tùy chọn sao lưu ứng dụng trên nền phụ trợ. Điều này có nghĩa là nếu tin tặc truy cập vào điện thoại thì có thể sử dụng cơ chế sao lưu dữ liệu để lưu bất kỳ tệp tin khóa cá nhân nào vào thiết bị khác.

Cũng giống như với Bitcoin Wallet, tin tặc cũng có thể khai thác các lỗ hổng hiện có trong hệ điều hành điện thoại để phá vỡ mọi giải pháp bảo mật và truy cập vào khóa cá nhân.

Một sai lầm khác của Jaxx là dùng mã cứng cho thuật toán mã hóa các tệp tin thay vì cho phép tạo ra mã ngẫu nhiên. Do đó, bất kỳ ai sử dụng ví Jaxx đều rất dễ bị tấn công khi thông tin bị rò rỉ.

Theo Tuoitreonline

‹ › ×

Tin liên quan

Cách thức bảo vệ và phòng tránh các hành vi lừa đảo NFT

14:00 | 14/09/2023

NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.

Tiền điện tử Libra của Facebook sẽ ra mắt vào năm 2020

11:00 | 27/06/2019

Việc Facebook giới thiệu đồng tiền điện tử của riêng mình hứa hẹn sẽ làm thay đổi ngành fintech toàn cầu, đồng thời thể hiện tham vọng khổng lồ của CEO Mark Zuckerberg.

Những lỗ hổng phổ biến nhất trong các dự án Blockchain và DeFi

16:00 | 21/06/2022

Trong thời gian qua, các dự án Blockchain và DeFi đang trên đà phát triển mạnh mẽ và trở thành một trong những đối tượng được tin tặc nhắm mục tiêu nhiều nhất.

Tin cùng chuyên mục

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.