Này! Hãy tưởng tượng điều này: bạn đã mất điện thoại hoặc nó bị đánh cắp. Bạn nghĩ, "Đáng sợ, nhưng không nghiêm trọng. Tôi có PIN, Nhận diện khuôn mặt, và tôi không lưu cụm từ hạt giống MetaMask của mình ở đâu cả." Có vẻ như tài khoản của bạn là an toàn.
Chà, không hẳn vậy. Các nghiên cứu từ Ledger vừa chứng minh rằng quyền truy cập vật lý vào điện thoại thông minh Android của bạn = quyền truy cập vào tất cả các ví nóng của bạn trên đó. Đây không phải là về việc hack phần mềm - mà là một cuộc tấn công trực tiếp vào phần cứng của bộ xử lý điện thoại.
Họ đã làm gì?
Họ đã lấy một con chip MediaTek phổ biến (có trong nhiều điện thoại thông minh tầm trung) và sử dụng xung điện từ để "phá vỡ" nó ở mức cơ bản nhất - trong quá trình khởi động. Nó giống như không mở khóa mà điều khiển từ xa để lập trình lại nó mở theo lệnh.
Nội dung kỹ thuật (ngắn gọn):
Một thiết bị đặc biệt hướng các xung điện từ vào chip.
Điều này kích hoạt một sự cố ở phần được bảo vệ nhất - boot ROM.
Sử dụng sự cố này, kẻ tấn công có thể kiểm soát hoàn toàn bộ vi xử lý (cấp quyền cao nhất, EL3).
Chỉ vậy thôi. Sau đó, họ có thể dễ dàng trích xuất khóa riêng từ bất kỳ ví nào đã cài đặt (Trust Wallet, MetaMask, v.v.).
Toàn bộ quy trình mất vài phút, và tỷ lệ thành công, theo dữ liệu của họ, lên tới 1%. Đối với một kẻ tấn công có thiết bị của bạn, điều đó là đủ.
Tại sao điều này lại quan trọng đối với bạn và tôi?
Điện thoại có thể bị đánh cắp và mất. Đây không phải là một mối đe dọa internet huyền thoại - đó là một thực tế hàng ngày.
Ví nóng trên điện thoại đang gặp rủi ro. Ledger rõ ràng tuyên bố rằng ví phần cứng của họ (và các thiết bị tương tự) không bị ảnh hưởng vì chúng có một chip an toàn được thiết kế đặc biệt để chống lại các cuộc tấn công như vậy.
Nhà sản xuất chip (MediaTek) về cơ bản đã xác nhận: chip này được sản xuất cho người tiêu dùng đại chúng, không phải để lưu trữ dữ liệu quan trọng một cách nghiêm ngặt. Các hoạt động tài chính yêu cầu bảo vệ chuyên biệt.
Điểm rút ra từ các nhà nghiên cứu:
Một điện thoại thông minh hiện đại là một "ví" tiện lợi cho chi tiêu hàng ngày, nhưng không phải là "két an toàn" cho việc nắm giữ lâu dài.
Việc giữ số tiền lớn trong ví nóng trên điện thoại của bạn sau nghiên cứu này là một rủi ro lớn.
Câu hỏi cho bạn: Bạn phân bổ tài sản của mình giữa ví nóng và ví phần cứng như thế nào sau những tin tức như thế này? Bạn có tin tưởng vào điện thoại thông minh của mình để lưu trữ số tiền lớn không?
