Salam! Təsəvvür edin: telefonunuzu itirdiniz və ya o, oğurlandı. Düşünürsünüz, "Təhlükəli, amma kritik deyil. Mənim PIN, Üz ID-m var və MetaMask toxum ifadəmi heç yerdə saxlamadım." Görünür ki, hesablarınız təhlükəsizdir.
Yaxşı, tam deyil. Ledger-dən tədqiqatçılar yalnız sübut etdilər ki, Android smartfonunuza fiziki giriş = onun üzərindəki bütün isti cüzdanlarınıza girişdir. Bu, proqram təminatını hack etmək haqqında deyil - bu, telefonun prosessoruna birbaşa hardware səviyyəsində hücumdur.
Onlar nə etdilər?
Onlar bir çox orta səviyyəli smartfonlarda tapılan məşhur MediaTek çipini götürdülər və onu ən əsas səviyyədə - yüklənmə zamanı "sındırmaq" üçün elektromaqnit impulslarından istifadə etdilər. Bu, kilidi açmamaqdır, amma uzaqdan onu əmrə açmaq üçün yenidən proqramlaşdırmaqdır.
Texniki əsas (qısa):
Xüsusi bir cihaz elektromaqnit impulslarını çipə yönəldir.
Bu, ən qorunan hissədə - boot ROM-da bir qüsuru tetikler.
Bu qüsuru istifadə edərək, hücumçular prosessorun tam nəzarətini əldə edə bilərlər (ən yüksək imtiyaz səviyyəsi, EL3).
Bu qədər. Bundan sonra, asanlıqla hər hansı quraşdırılmış cüzdan (Trust Wallet, MetaMask və s.) - dan şəxsi açarları çıxara bilərlər.
Bütün proses bir neçə dəqiqə çəkir və onların məlumatlarına görə müvəffəqiyyət nisbəti 1%-ə qədərdir. Sizin cihazınızı ələ keçirən bir hücumçu üçün bu, kifayət qədərdir.
Bu sizin və mənim üçün niyə əhəmiyyətlidir?
Telefonlar oğurlanır və itirilir. Bu, bəzi mifik internet təhdidi deyil - bu, gündəlik reallıqdır.
Telefonlardakı isti cüzdanlar risk altındadır. Ledger aydın şəkildə bildirir ki, onların hardware cüzdanları (və oxşar cihazlar) belə hücumlara qarşı mühafizə olunan çipə malikdir.
Çip istehsalçısı (MediaTek) əslində təsdiqlədi: bu çip kütləvi istehlakçılar üçün hazırlanıb, kritik önəmli məlumatların saxlanması üçün deyil. Maliyyə əməliyyatları ixtisaslaşdırılmış qorunma tələb edir.
Tədqiqatçılardan əsas nəticə:
Müasir bir smartfon gündəlik xərcləmələr üçün rahat "cüzdan"dır, lakin uzunmüddətli saxlanma üçün "saxlama" deyil.
Bu araşdırmadan sonra telefonunuzda isti cüzdanlarda əhəmiyyətli məbləğlər saxlamaq böyük bir riskdir.
Sizə sual: Bu cür xəbərlərdən sonra aktivlərinizi isti və hardware cüzdanları arasında necə bölüşdürürsünüz? Telefonunuza əhəmiyyətli məbləğlər saxlamağa etibar edirsiniz?
