Ledger выявила уязвимость Android, нацеленную на seed-фразы пользователей криптокошельков

Исследователи из команды Donjon компании Ledger нашли проблему безопасности в процессорах MediaTek. Такие чипы часто стоят в Android-смартфонах.

По их словам, через эту уязвимость злоумышленники могут получить PIN-код телефона и seed-фразу криптокошелька. На это требуется всего несколько секунд. Более того, атака возможна даже при выключенном устройстве.

Чтобы проверить это, команда провела практический тест. В результате удалось получить доступ к данным некоторых горячих криптокошельков.

Среди приложений, которые оказались уязвимыми, были Trust Wallet, Kraken Wallet и Phantom.

Кража криптовалют на Android

Шарль Гийоме, технический директор Ledger, обратил внимание на ещё одну проблему безопасности смартфонов. По его словам, такие устройства изначально не разрабатывались как надёжное место для хранения чувствительных данных, включая криптоключи.

Он отметил, что обнаруженная уязвимость могла затронуть миллионы Android-устройств. Эта операционная система остаётся самой распространённой в мире, во многом потому, что смартфоны на её базе дешевле и доступны в большем количестве стран.

Читайте также: Взлом BONK.fun привел к запуску вредоносного скрипта для кражи средств

После того как информация об уязвимости стала известна, MediaTek выпустила обновление, закрывающее эту проблему. Trust Wallet также внёс изменения в систему защиты и добавил функцию, которая должна предотвращать подмену криптовалютных адресов.

Какой способ хранения криптовалют считается безопасным

Аппаратные или холодные кошельки вроде Ledger и Trezor обычно считают более надёжным вариантом. У них своя архитектура хранения, и это уже даёт им плюс по безопасности.

Но на практике большинство всё равно выбирает горячие кошельки. Тут всё проще: они удобнее, быстрее и обходятся дешевле. По этой причине ими пользуется большая часть пользователей.

При этом холодное хранение тоже не спасает от всех проблем. Люди теряют доступ к средствам из-за обмана, подмены устройств, кражи самого кошелька или просто по собственной невнимательности.

Один из самых показательных случаев произошёл в Южной Корее. Там налоговая служба случайно выложила seed-фразу от изъятого аппаратного кошелька.

Другой пример связан с недавним случаем во Франции. Там у супружеской пары похитили почти $1 млн в биткоинах после атаки с физическим принуждением, когда злоумышленники заставляют жертву дать доступ к криптокошельку.

Читайте также: ЕЦБ представил дорожную карту Appia для денег центробанков на токенизированных рынках Европы

Проблемы безопасности встречаются и на уровне операционных систем. Пользователи iOS также сталкивались с уязвимостями. Например, баг Coruna позволял получать чувствительные данные, связанные с криптовалютами, на старых версиях iOS.

Даже при запуске собственной ноды приватные ключи могут быть украдены. Поэтому некоторые эксперты считают мультиподписные кошельки одним из самых надёжных способов хранения криптовалют.