Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя.
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы.
Смартфон отобразил предупреждение о том, что с этого момента «целостность программного обеспечения не может быть гарантирована».
«Любые данные, хранящиеся на устройстве, могут быть доступны злоумышленникам», — сказано в сообщении.
После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька.
Дополнительных комментариев по проблеме в CertiK не предоставили.
Апдейт:
CCO HAPI Марк Лецюк уточнил, что в демонстрируемом ролике CertiK не раскрываются какие-либо известные уязвимости или угрозы безопасности для владельцев Saga.
«На видео пользователь разблокирует загрузчик, что можно сделать на многих устройствах Android. В Saga эта дополнительная функция по умолчанию отключена. Однако она не является уязвимостью безопасности — авторизованный пользователь должен явно разрешить внесение таких изменений в свое устройство», — объяснил эксперт.
Он также добавил, что одной из ключевых инноваций Saga является Seed Vault — встроенная система хранения с повышенной безопасностью для сид-фраз и поддерживаемых цифровых активов.
«Пользователям Saga всегда рекомендуется включать кошельки Seed Vault для защиты своих цифровых активов. Важно отметить, что Seed Vault не используется в кошельке CertiK, показанном на видео», — добавил Лецюк.
Впервые Solana Labs представила Saga в июне 2022 года. В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек.
Напомним, продажи Saga стартовали 8 мая 2023 года.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Источник
Навигация по записям
Binance и Нацбанк Казахстана выпустят обеспеченный цифровым тенге стейблкоин «/>
{
«@context»: «https://schema.org»,
«@type»: «BreadcrumbList»,
«itemListElement»: [{
«@type»: «ListItem»,
«position»: 1,
«name»: «✅РБК»,
«item»: «https://www.rbc.ru/»
},{
«@type»: «ListItem»,
«position»: 2,
«name»: «✅РБК Крипто»,
«item»: «https://www.rbc.ru/crypto/»
},{
«@type»: «ListItem»,
«position»: 3,
«name»: «✅Национальные криптовалюты»,
«item»: «https://www.rbc.ru/crypto/tags/?tag=%D0%9D%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B2%D0%B0%D0%BB%D1%8E%D1%82%D1%8B»
},{
«@type»: «ListItem»,
«position»: 4,
«name»: «✅Binance и НБРК протестировали обеспеченный цифровым тенге стейблкоин»,
«item»: «https://www.rbc.ru/crypto/news/65551fcc9a79474d4bc1caf7»
}]
}
window.foxConfig = {
project: ‘crypto’,
page: ‘default’,
useWeboramaSegments: true,
};
window.foxConfig.backOffice = [{«place_name»:»after_topline_inner»,»refresh_timeout»:1,»max_refresh_count»:999,»activation»:»instant»,»tab_refresh»:true,»viewable_only»:false,»is_disabled»:false},{«place_name»:»after_topline_more_inner»,»refresh_timeout»:1,»max_refresh_count»:999,»activation»:»instant»,»tab_refresh»:true,»viewable_only»:false,»is_disabled»:false},{«place_name»:»after_topline_inner_mobile»,»refresh_timeout»:1,»max_refresh_count»:999,»activation»:»instant»,»tab_refresh»:true,»viewable_only»:false,»is_disabled»:false},{«place_name»:»after_topline_inner_mobile_more»,»refresh_timeout»:1,»max_refresh_count»:999,»activation»:»instant»,»tab_refresh»:true,»viewable_only»:false,»is_disabled»:false}];
RA.config.set(‘banners.preroll’, {«live»:»https://yandex.ru/ads/adfox/256998/getCode?p1=cspxc&p2=hcsm»,»content_video»:»https://yandex.ru/ads/adfox/256998/getCode?p1=cspxc&p2=hcsm»,»live_add_puid»:true,»content_video_add_puid»:true});
RA.config.set(‘fox’, true);
RA.config.set(‘fox-video’, true);
RA.repo.banner = {
isHalt: function() {
return false;
},
getService: function() {
return {
getPlaces: function() {
return [];
},
createPlaceholder: function(){
return null;
}
}
},
addFloatTargetingKeyValue: function() {},
addFloatHideBanners: function() {},
setTargeting: function() {},
addEventListener: function() {},
removeEventListener: function() {},
run: function() {},
refresh: function() {},
clear: function() {},
exclusiveValue: function() {},
checkAdBlock: function() {
return 1;
},
clearTargeting: function() {},
getFloatHideBanners: function() {},
disableRefresh: function() {},
EVENTS: {}
};
const helpers = window.RA.repo.helpers;
let hashCode = 0;
if (helpers && helpers.hashCode) {
hashCode = helpers.hashCode(RA.repo.banner.checkAdBlock.toString());
}
window.RA.config.set(‘bHashCode’, hashCode);
(function(){
function defineScript ({ src, async, defer }) {
return new Promise((resolve, reject) => {
const tag = document.createElement(‘script’);
tag.type = ‘text/javascript’;
tag.src = src;
tag.async = !!async;
if(defer){
tag.defer = true;
}
tag.onload = resolve;
tag.onerror = reject;
document.head.appendChild(tag);
});
}
window.foxState = {
loaded: null,
};
defineScript({
src: ‘//s.rbk.ru/v2_rbcbanners_static/rbcbanners-2.1.47/fox/build/app.js’,
async: true,
}).then(function(){
window.foxState.loaded = true;
document.dispatchEvent(new CustomEvent(‘foxLoaded’));
}).catch(function(){
const errorType = ‘loaderError’;
document.dispatchEvent(new CustomEvent(‘foxError’, {
detail: {
type: errorType,
},
}));
window.foxState.foxError = errorType;
window.foxState.loaded = false;
});
})();
RA.version = 10;
RA.env = (‘production’ || ‘production’); // develop, test, staging, production
RA.config.set(‘device.isMobile’, false);
RA.config.set(‘device.isApp’, false);
RA.config.set(‘ajax.prefix’, ‘/crypto/v2/’);
RA.config.set(‘layout.mainMenuHeight’, 105);
RA.config.set(‘layout.toplineHeight’, 45);
RA.config.set(‘layout.headerHeight’, 60);
RA.config.set(‘layout.layoutMinBreakpoint’, 1260);
RA.config.set(‘layout.layoutMinWidth’, 980);
RA.config.set(‘layout.bottomBannerHeight’, 250);
RA.config.set(‘layout.billboardHeight’, 250);
RA.config.set(‘layout.isLogoBW’, false);
RA.config.set(‘layout.templatePath’, ‘public’);
RA.config.set(‘urls.common_static’, ‘//s.rbk.ru/v2_crypto_static/common/common-10.10.83/’);
RA.config.set(‘urls.static’, ‘//s.rbk.ru/v2_crypto_static/crypto-2.0.48/’);
RA.config.set(‘urls.image’, ‘https://s.rbk.ru/v2_crypto_static/current/images/’);
RA.config.set(‘domain’, ‘.rbc.ru’);
RA.config.set(‘domainAuth’, ‘https://auth.rbc.ru’);
RA.config.set(‘domainApigw’, ‘https://apigw.rbc.ru’);
RA.config.set(‘pro.cookie’, »);
RA.config.set(‘video.off’, false);
RA.config.set(‘paywall.user.logined’, false);
RA.config.set(‘paywall.user.paid’, false);
RA.config.set(‘mainPage’, false);
RA.config.set(‘showBanners’, true);
RA.config.set(‘noVideo’, false);
RA.config.set(‘disableThirdPartyScripts’, false);
RA.config.set(‘split’, ‘Z’);
RA.config.set(‘yandexCaptchaKey’, »);
RA.config.set(‘newslist’, [«6554fcfd9a7947054904cb50″,»6554de089a7947bad0215c71″,»6554c3ff9a7947d76befb349″,»6554ab2a9a79470816de6a02″,»6554a0489a794716c4ca627d»,»655487049a79471751f13b58″,»655472f09a7947c896d65a93″,»655466fc9a7947b33694011d»,»65538fb29a7947b3f26f0fda»,»65537a209a7947e8d760e4d5″,»65536dfa9a794708b8284356″,»655359fb9a79475fac489ab5″,»65534dd49a794778fb629a84″,»65533b939a794763977f7be7″,»65532c8d9a794783cf239a59″,»655326739a79475b92753662″,»6553135a9a79477d5626d85d»,»65523e509a79473919f7c8ac»,»655228a89a79472e3926eb3d»,»65522f7d9a79473abf8534ce»,»65521ba59a79472ffcec8445″,»65520dd29a7947d6d714c401″,»655205c29a79476323d9427a»,»6551ef8b9a7947cfde286b78″,»6551dbce9a79477fbec9a1bc»]);
RA.config.set(‘newsTypeList’, {«6554fcfd9a7947054904cb50″:»article»,»6554de089a7947bad0215c71″:»article»,»6554c3ff9a7947d76befb349″:»article»,»6554ab2a9a79470816de6a02″:»article»,»6554a0489a794716c4ca627d»:»article»,»655487049a79471751f13b58″:»article»,»655472f09a7947c896d65a93″:»article»,»655466fc9a7947b33694011d»:»article»,»65538fb29a7947b3f26f0fda»:»article»,»65537a209a7947e8d760e4d5″:»article»,»65536dfa9a794708b8284356″:»article»,»655359fb9a79475fac489ab5″:»article»,»65534dd49a794778fb629a84″:»article»,»65533b939a794763977f7be7″:»article»,»65532c8d9a794783cf239a59″:»article»,»655326739a79475b92753662″:»article»,»6553135a9a79477d5626d85d»:»article»,»65523e509a79473919f7c8ac»:»article»,»655228a89a79472e3926eb3d»:»article»,»65522f7d9a79473abf8534ce»:»article»,»65521ba59a79472ffcec8445″:»article»,»65520dd29a7947d6d714c401″:»article»,»655205c29a79476323d9427a»:»article»,»6551ef8b9a7947cfde286b78″:»article»,»6551dbce9a79477fbec9a1bc»:»article»});
RA.config.set(‘project’, ‘crypto’);
RA.config.set(‘readmore.url’, ‘/crypto/geo/interesting/news/’);
:root {
—auto-if-no-script: auto;
—none-if-no-script: none;
—block-if-no-script: block;
—zero-if-no-script: 0;
—one-if-no-script: 1;
}
Крипто
Телеканал
Pro
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
Спорт
Тренды
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
РБК Библиотека
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
РБК Компании
…
Скрыть баннеры