Solana Labs ha respinto un recente video di CertiK, in cui si afferma che la società di sicurezza blockchain ha fatto diverse affermazioni inesatte su una potenziale vulnerabilità della sicurezza nel telefono Saga di Solana.

Saga è il telefono Android abilitato alla crittografia di Solana ed è stato rilasciato ad aprile. Il telefono è progettato per associare Web3 agli smartphone.

Il video CertiK

CertiK, in un post su X (ex Twitter) il 15 novembre, ha affermato che il telefono Saga conteneva una vulnerabilità critica nota come vulnerabilità di "sblocco del bootloader". La vulnerabilità potrebbe fornire agli autori malintenzionati un accesso backdoor al telefono e compromettere il software iniziale responsabile dell'avvio del dispositivo da compromettere. CertiK ha inoltre affermato che la vulnerabilità del bootloader consentirebbe a qualsiasi utente malintenzionato con accesso fisico a un telefono di caricare firmware personalizzato che contiene una backdoor root. CertiK ha dichiarato:

"Dimostriamo che questo può compromettere i dati più sensibili memorizzati sul telefono, tra cui le chiavi private delle criptovalute. Il boot loader è sbloccato e l'integrità del software non può essere garantita. Tutti i dati memorizzati sul dispositivo potrebbero essere disponibili agli aggressori. Non memorizzare dati sensibili sul dispositivo."

Il messaggio di CertiK indica che il telefono potrebbe essere hackerato. Tuttavia, non è ancora chiaro se la vulnerabilità sia esclusiva del telefono Saga o se potrebbe avere un impatto su altri dispositivi Android.

Solana definisce imprecise le affermazioni di CertiK

Tuttavia, Solana ha respinto le preoccupazioni di CertiK su qualsiasi potenziale vulnerabilità nel telefono Saga. Il capo ingegnere software mobile di Solana Labs, Steven Laver, ha dichiarato che il video di CertiK non ha rivelato alcuna vulnerabilità nota o minaccia alla sicurezza per gli utenti Saga. Invece, il video mostra solo l'utente che sblocca il bootloader, cosa che Laver ha affermato potrebbe essere fatta su qualsiasi dispositivo Android.

"Il video CertiK non rivela alcuna vulnerabilità nota o minaccia alla sicurezza per i possessori di Saga. Il video mostra l'utente che sblocca il bootloader, cosa che può essere fatta su molti dispositivi Android."

La documentazione interna del progetto Open Source di Android mostra anche che sbloccare un bootloader è un'azione che può essere eseguita su più dispositivi Android. Laver ha inoltre aggiunto,

"Lo sblocco del bootloader è una funzionalità avanzata di Saga ed è disabilitato di default. Crediamo nel consentire agli utenti di scegliere come utilizzare il proprio telefono. Tuttavia, lo sblocco del bootloader non è una vulnerabilità di sicurezza: un utente deve consentire esplicitamente che tali modifiche vengano apportate al proprio dispositivo e tali modifiche possono essere apportate solo da un utente autorizzato del telefono."

Tuttavia, se l'utente o l'aggressore procede a sbloccare il bootloader, non solo riceve più avvisi, ma il suo dispositivo viene cancellato, insieme alle sue chiavi private. Laver ha aggiunto che questo processo non poteva essere eseguito senza la consapevolezza o la partecipazione attiva dell'utente. Il video ha poi mostrato come l'aggressore potrebbe drenare BTC dal portafoglio collegato al telefono. Tuttavia, non ha mostrato Seed Vault nel video. Seed Vault protegge le risorse digitali e i seed supportati.

Seed Vault è stato annunciato nel 2022 e può accedere all'ambiente di sicurezza con i privilegi più elevati disponibile su un dispositivo. Ciò include modalità operative sicure del processore per Secure Elements dedicati, che garantiscono un'esperienza di firma delle transazioni sicura tramite componenti UI integrati in Android.

Il telefono della saga

Saga è stato lanciato ad aprile ed è stato progettato per abbinare l'ecosistema Web3 agli smartphone. Oltre ai tradizionali app store, Solana offre anche un app store separato. Il telefono consente agli utenti di avere l'autocustodia dei propri beni e di tenerli con sé in movimento. Pochi mesi dopo il lancio, Solana ha tagliato il prezzo di Saga del 40%, da $ 1000 a $ 599.

All'epoca, il responsabile delle operazioni commerciali di Solana Mobile, Emmett Hollyer, dichiarò che la riduzione dei prezzi era una strategia comune impiegata nel settore dell'elettronica di consumo, in particolare quando si trattava di smartphone.

Disclaimer: Questo articolo è fornito solo a scopo informativo. Non è offerto o inteso per essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.