Solana Labs odmítla nedávné video od CertiK a uvedla, že bezpečnostní firma blockchainu uvedla několik nepřesných tvrzení o potenciální bezpečnostní zranitelnosti v telefonu Solana's Saga.

Saga je telefon s Androidem od Solana s podporou kryptoměn a byl vydán v dubnu. Telefon je navržen pro spárování Web3 s chytrými telefony.

Video CertiK

CertiK v příspěvku na X (dříve Twitter) 15. listopadu tvrdil, že telefon Saga obsahuje kritickou zranitelnost známou jako zranitelnost „odemknutí bootloaderu“. Tato chyba zabezpečení by mohla umožnit útočníkům se zlými úmysly vstoupit do telefonu zadními vrátky a ohrozit původní software zodpovědný za spouštění zařízení, které má být kompromitováno. CertiK také tvrdil, že zranitelnost bootloaderu umožní každému útočníkovi s fyzickým přístupem k telefonu načíst vlastní firmware, který obsahuje kořenová zadní vrátka. CertiK uvedl,

„Ukazujeme, že to může ohrozit nejcitlivější data uložená v telefonu, včetně soukromých klíčů kryptoměn. Zavaděč je odemčený a integritu softwaru nelze zaručit. Veškerá data uložená v zařízení mohou být dostupná útočníkům. Neukládejte na zařízení žádná citlivá data.“

Zpráva od CertiK naznačuje, že telefon mohl být hacknut. Zatím však není jasné, zda je zranitelnost jedinečná pro telefon Saga nebo zda by mohla mít dopad na jiná zařízení Android.

Solana tvrdí, že tvrzení CertiK jsou nepřesná

Solana však odmítl obavy CertiK o jakékoli potenciální zranitelnosti v telefonu Saga. Vedoucí softwarový inženýr mobilních zařízení v Solana Labs Steven Laver uvedl, že video CertiK neodhalilo žádnou známou zranitelnost nebo bezpečnostní hrozbu pro uživatele Saga. Místo toho video pouze ukazuje, jak uživatel odemyká bootloader, což Laver uvedl, že lze provést na jakémkoli zařízení Android.

„Video CertiK neodhaluje žádnou známou zranitelnost nebo bezpečnostní hrozbu pro držitele Saga. Video ukazuje, jak uživatel odemyká bootloader, což je něco, co lze provést na mnoha zařízeních Android.“

Interní dokumentace Open Source Project pro Android také ukazuje, že odemknutí bootloaderu je akce, kterou lze provést na několika zařízeních Android. Laver dále dodal,

„Odemknutí bootloaderu je pokročilá funkce Saga a je ve výchozím nastavení zakázána. Věříme, že uživatelům umožníme vybrat si, jak budou svůj telefon používat. Odemknutí bootloaderu však nepředstavuje bezpečnostní chybu – uživatel musí takové změny na svém zařízení výslovně povolit a tyto změny může provést pouze oprávněný uživatel telefonu.“

Pokud však uživatel nebo útočník odemkne bootloader, nejenže projde několika varováními, ale jejich zařízení bude vymazáno spolu s jejich soukromými klíči. Laver dodal, že tento proces nelze provést bez vědomí uživatele nebo aktivní účasti. Video pak ukázalo, jak mohl útočník vysát BTC z peněženky připojené k telefonu. Ve videu však neukázal Seed Vault. Seed Vault chrání podporovaná digitální aktiva a semena.

Seed Vault byl oznámen v roce 2022 a má přístup k nejvyššímu privilegovanému bezpečnostnímu prostředí dostupnému na zařízení. To zahrnuje zabezpečené provozní režimy procesoru až po vyhrazené prvky Secure Elements, které zajišťují bezpečné podepisování transakcí prostřednictvím komponent uživatelského rozhraní zabudovaných do systému Android.

Telefon Saga

Saga byla spuštěna v dubnu a byla navržena tak, aby spárovala ekosystém Web3 s chytrými telefony. Kromě tradičních obchodů s aplikacemi nabízí Solana také samostatný obchod s aplikacemi. Telefon umožňuje uživatelům vlastnit svá aktiva a mít je u sebe na cestách. Několik měsíců po uvedení na trh Solana snížila cenu Saga o 40 %, z 1000 $ na 599 $.

V té době vedoucí obchodních operací společnosti Solana Mobile Emmett Hollyer uvedl, že snižování cen je běžnou strategií používanou v podnikání se spotřební elektronikou, zejména pokud jde o smartphony.

Upozornění: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.