Solana Labs a rejeté une récente vidéo de CertiK, affirmant que la société de sécurité blockchain avait fait plusieurs déclarations inexactes concernant une vulnérabilité de sécurité potentielle dans le téléphone Saga de Solana.
Saga est le téléphone Android cryptographique de Solana et a été lancé en avril. Le téléphone est conçu pour associer Web3 aux smartphones.
La vidéo CertiK
CertiK, dans un message publié sur X (anciennement Twitter) le 15 novembre, a affirmé que le téléphone Saga contenait une vulnérabilité critique connue sous le nom de vulnérabilité de « déverrouillage du chargeur de démarrage ». Cette vulnérabilité pourrait donner aux acteurs malveillants une porte dérobée dans le téléphone et compromettre le logiciel initial responsable du démarrage de l'appareil à compromettre. CertiK a également affirmé que la vulnérabilité du chargeur de démarrage permettrait à tout attaquant ayant un accès physique à un téléphone de charger un micrologiciel personnalisé contenant une porte dérobée racine. CertiK a déclaré :
« Nous démontrons que cela peut compromettre les données les plus sensibles stockées sur le téléphone, y compris les clés privées de cryptomonnaie. Le chargeur de démarrage est déverrouillé et l'intégrité du logiciel ne peut être garantie. Toutes les données stockées sur l'appareil peuvent être accessibles aux attaquants. Ne stockez aucune donnée sensible sur l'appareil. »
Le message de CertiK indique que le téléphone pourrait être piraté. Cependant, il n’est pas encore clair si la vulnérabilité est propre au téléphone Saga ou si elle pourrait avoir un impact sur d’autres appareils Android.
Solana qualifie les déclarations de CertiK d'inexactes
Cependant, Solana a rejeté les inquiétudes de CertiK concernant une vulnérabilité potentielle du téléphone Saga. Steven Laver, ingénieur logiciel en chef de Solana Labs, a déclaré que la vidéo de CertiK ne révélait aucune vulnérabilité connue ni menace de sécurité pour les utilisateurs de Saga. Au lieu de cela, la vidéo montre uniquement l'utilisateur déverrouillant le chargeur de démarrage, ce qui, selon Laver, pourrait être fait sur n'importe quel appareil Android.
« La vidéo CertiK ne révèle aucune vulnérabilité connue ni menace de sécurité pour les détenteurs de Saga. La vidéo montre l'utilisateur déverrouillant le chargeur de démarrage, ce qui est possible sur de nombreux appareils Android. »
La documentation interne du projet Open Source d’Android montre également que le déverrouillage d’un chargeur de démarrage est une action qui peut être effectuée sur plusieurs appareils Android. Laver a ajouté :
« Le déverrouillage du chargeur de démarrage est une fonctionnalité avancée de Saga et est désactivé par défaut. Nous pensons qu’il faut laisser aux utilisateurs le choix de la manière dont ils utilisent leur téléphone. Cependant, le déverrouillage du chargeur de démarrage ne constitue pas une faille de sécurité : un utilisateur doit explicitement autoriser de telles modifications sur son appareil, et ces modifications ne peuvent être effectuées que par un utilisateur autorisé du téléphone. »
Cependant, si l'utilisateur ou l'attaquant procède au déverrouillage du chargeur de démarrage, non seulement il passe par plusieurs avertissements, mais son appareil est effacé, ainsi que ses clés privées. Laver a ajouté que ce processus ne pouvait pas être effectué sans la connaissance ou la participation active de l'utilisateur. La vidéo a ensuite montré comment l'attaquant pouvait vider le BTC du portefeuille attaché au téléphone. Cependant, il n'a pas montré Seed Vault dans la vidéo. Seed Vault protège les actifs numériques et les graines pris en charge.
Seed Vault a été annoncé en 2022 et peut accéder à l'environnement de sécurité le plus privilégié disponible sur un appareil. Cela inclut les modes de fonctionnement sécurisés du processeur vers des éléments sécurisés dédiés, qui garantissent une expérience de signature de transaction sécurisée via des composants d'interface utilisateur intégrés à Android.
Le téléphone Saga
Saga a été lancé en avril et a été conçu pour associer l'écosystème Web3 aux smartphones. Outre les magasins d'applications traditionnels, Solana propose également un magasin d'applications séparé. Le téléphone permet aux utilisateurs de garder eux-mêmes leurs actifs et de les garder avec eux lors de leurs déplacements. Quelques mois après son lancement, Solana a réduit le prix de Saga de 40 %, de 1 000 $ à 599 $.
À l'époque, le directeur des opérations commerciales de Solana Mobile, Emmett Hollyer, avait déclaré que la réduction des prix était une stratégie courante employée dans le secteur de l'électronique grand public, en particulier en ce qui concerne les smartphones.
Avis de non-responsabilité : cet article est fourni à titre informatif uniquement. Il n'est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
