Solana Labs desestimó un video reciente de CertiK, afirmando que la firma de seguridad blockchain hizo varias afirmaciones inexactas sobre una posible vulnerabilidad de seguridad en el teléfono Saga de Solana.

Saga es el teléfono Android con criptografía de Solana y se lanzó en abril. El teléfono está diseñado para emparejar Web3 con teléfonos inteligentes.

El vídeo de CertiK

CertiK, en una publicación en X (anteriormente Twitter) el 15 de noviembre, afirmó que el teléfono Saga contenía una vulnerabilidad crítica conocida como vulnerabilidad de "desbloqueo del gestor de arranque". La vulnerabilidad podría brindar a los actores malintencionados una entrada por puerta trasera al teléfono y comprometer el software inicial responsable del inicio del dispositivo comprometido. CertiK también afirmó que la vulnerabilidad del gestor de arranque permitiría a cualquier atacante con acceso físico a un teléfono cargar firmware personalizado que contenga una puerta trasera raíz. CertiK declaró:

“Demostramos que esto puede comprometer los datos más confidenciales almacenados en el teléfono, incluidas las claves privadas de criptomonedas. El gestor de arranque está desbloqueado y no se puede garantizar la integridad del software. Cualquier dato almacenado en el dispositivo puede estar disponible para los atacantes. No almacene ningún dato confidencial en el dispositivo”.

El mensaje de CertiK indica que el teléfono podría haber sido pirateado. Sin embargo, aún no está claro si la vulnerabilidad es exclusiva del teléfono Saga o si podría afectar a otros dispositivos Android.

Solana califica de inexactas las afirmaciones de CertiK

Sin embargo, Solana desestimó las preocupaciones de CertiK sobre cualquier posible vulnerabilidad en el teléfono Saga. El ingeniero líder de software móvil de Solana Labs, Steven Laver, afirmó que el vídeo de CertiK no reveló ninguna vulnerabilidad conocida o amenaza de seguridad para los usuarios de Saga. En cambio, el video solo muestra al usuario desbloqueando el gestor de arranque, lo que, según Laver, se puede hacer en cualquier dispositivo Android.

“El vídeo de CertiK no revela ninguna vulnerabilidad conocida o amenaza a la seguridad para los titulares de Saga. El vídeo muestra al usuario desbloqueando el gestor de arranque, algo que se puede hacer en muchos dispositivos Android”.

La documentación interna del Proyecto de código abierto de Android también muestra que desbloquear un gestor de arranque es una acción que se puede realizar en varios dispositivos Android. Laver agregó además:

“Desbloquear el gestor de arranque es una característica avanzada de Saga y está deshabilitado de forma predeterminada. Creemos en permitir a los usuarios elegir cómo usan su teléfono. Sin embargo, desbloquear el gestor de arranque no es una vulnerabilidad de seguridad: un usuario debe permitir explícitamente que se realicen dichos cambios en su dispositivo, y esos cambios sólo pueden ser realizados por un usuario autorizado del teléfono”.

Sin embargo, si el usuario o atacante procede a desbloquear el gestor de arranque, no solo recibe múltiples advertencias, sino que su dispositivo se borra, junto con sus claves privadas. Laver agregó que este proceso no podría realizarse sin el conocimiento o la participación activa del usuario. Luego, el video mostró cómo el atacante podía drenar BTC de la billetera adjunta al teléfono. Sin embargo, no mostró Seed Vault en el video. Seed Vault protege las semillas y los activos digitales compatibles.

Seed Vault se anunció en 2022 y puede acceder al entorno de seguridad más privilegiado disponible en un dispositivo. Esto incluye modos operativos seguros del procesador hasta elementos seguros dedicados, que garantizan una experiencia de firma de transacciones segura a través de componentes de interfaz de usuario integrados en Android.

El teléfono de la saga

Saga se lanzó en abril y fue diseñado para emparejar el ecosistema Web3 con los teléfonos inteligentes. Además de las tiendas de aplicaciones tradicionales, Solana también ofrece una tienda de aplicaciones independiente. El teléfono permite a los usuarios tener autocustodia de sus activos y mantenerlos consigo mientras viajan. Unos meses después de su lanzamiento, Solana rebajó el precio de Saga en un 40%, de 1.000 dólares a 599 dólares.

En ese momento, el jefe de operaciones comerciales de Solana Mobile, Emmett Hollyer, afirmó que la reducción de precios era una estrategia común empleada en el negocio de la electrónica de consumo, particularmente cuando se trataba de teléfonos inteligentes.

Descargo de responsabilidad: este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.