В смартфоне от Solana нашли критическую уязвимость

Аналитики CertiK выявили данную мобильность в компьютере Saga от Solana, которая позволяет похищать криптовалюты пользователя. 

Ever wondered about the security of your Web3 devices?

Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy

— CertiK (@CertiK) November 15, 2023

Специалисты компании в режиме восстановления покумекали установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы. 

Смартфон отобразил предостережение о том, что с этого мига «целостность программного обеспечения не может быть гарантирована».

«Любые данные, хранящиеся на устройстве, можетесть существовать доступны злоумышленникам», — сказано в сообщении.

После этого они подключили планшетник к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов биологи выводили все биткоины со встроенного кошелька.

Дополнительных пересказов по задаче в CertiK не предоставили.

Апдейт: 

CCO HAPI Марк Лецюк уточнил, что в демонстрируемом клипе CertiK не раскрываются какие-либо известные беззащитности или угрозы безопастности для хозяев Saga.

«На видео юзер взломает загрузчик, что можно попросить на многих устройствах Android. В Saga та добавочная система по умалчиванию отключена. Однако она не является мобильностью охраны — авторизованный юзер надлежащ явно разрешить внесение таких видоизменений в свое устройство», — объяснил эксперт.

Он также добавил, что одной из важных новаций Saga явлется Seed Vault — встроенная система складирования с повышенной безопастностью для сид-фраз и поддерживаемых электронных активов.

«Пользователям Saga всегда советует включать кошельки Seed Vault для защиты своих клиентоцентричных активов. Важно отметить, что Seed Vault не использовавается в кошельке CertiK, приведённом на видео», — добавил Лецюк.

Впервые Solana Labs представила Saga в апреле 2022 года. В аппаратное и аппаратное использование автоответчика интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек. 

Напомним, перепродажи Saga стартовали 8 мая 2023 года.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.