Биткойн-кошельки Mycelium перехватываются в ходе доставки

5
ПОДЕЛИТЬСЯ

l2

Вопрос безопасности биткойн-кошельков волнует энтузиастов криптовалюты по всему миру. К сожалению, программные клиенты защищены не настолько хорошо, как мы думаем. Дело в том, что они используются на устройствах, подключенных к интернету, а значит, могут стать мишенью для хакеров. В связи с этим, большую популярность приобретает аппаратное обеспечение, которое может показаться более надежным. Тем не менее, если вы решили приобрести аппаратный биткойн-кошелек Mycelium Entropy, вам стоит подумать еще раз, ведь устройство может оказаться не таким безопасным, как кажется.

В процессе доставки посылку с Mycelium Entropy могут вскрыть посторонние

Согласно сообщениям в Твиттере, некоторые покупатели получили устройство со взломанной голографической печатью. Именно наличие голограммы должно подтверждать тот факт, что кошелек оставался нетронутым с момента его упаковки и до момента доставки владельцу. Если в процессе пересылки печать была взломана, это значит, что посторонние могли «покопаться» в аппаратной начинке устройства. Если бы подобная жалоба встретилась только один раз, то беспокоиться было бы не о чем. Однако все выглядит так, будто кто-то целенаправленно вскрывает посылки. Здесь возникает вопрос – кто именно?

Винить ли почту?

Как сообщил пользователь форума Reddit под никнеймом literarydevice, почтовая служба Канады заявила, что посылка уже была доставлена с повреждениями, которые ее сотрудники «пытались устранить».

Судя по опубликованной ниже фотографии, совершенно ясно, что голограмма была взломана сотрудниками почтовой службы, которые постарались замести следы и представить все так, будто посылку не вскрывали вовсе.

Стоит ли говорить, что оправдания сотрудников почтовой службы Канады кажутся совсем неправдоподобными. Если уж они просканируют поврежденную посылку, то вряд ли будут тратить время на починку упаковки, а, скорее, вскроют ее (сотрудники почты имеют на это право) и проверят содержимое.

Комментарий Роджера Вера

Конечно, одно заявление случайного пользователя Reddit еще ничего не доказывает. Тем не менее, когда с этой же проблемой сталкивается «Биткойн-Иисус» Роджер Вер собственной персоной (который, кстати, живет в Японии, а не в Канаде), все становится намного интереснее. По заявлению Вера, ему также была доставлена посылка со взломанной голографической печатью и точно такой же запиской с объяснениями от почтового отделения города Кавасаки.

Согласно записке, упаковка устройства была повреждена, и сотрудники почты пытались ее «починить». Кроме того, почтовое отделение Кавасаки выражало «глубокое сожаление по поводу того, что посылка была доставлена в таком состоянии». Не очень-то убедительно, учитывая тот факт, что текст записки от канадской почты звучал практически так же.

Интереснее всего то, что в случае проверки сотрудниками почты содержимого посылки для оценки налога на импорт, используются совсем другие наклейки и ленты. Отсюда напрашивается вывод – посылка была распечатана не в почтовом отделении Кавасаки.

Ответ Mycelium Entropy

Представители Mycelium Entropy заявили, что аппаратные кошельки Entropay Bitcoin упакованы таким образом, чтобы обеспечить их сохранность в процессе пересылки. Однако существует возможность их перехвата из-за «плохой упаковки».

Примечательно, что вскоре после заявления представители Mycelium Entropy изменили свою историю. По их словам, многие посылки были вскрыты таможенниками из-за подозрений, что в них могла находится детская порнография.

Источник: Digital Money Times

5 КОММЕНТАРИИ

  1. Я сам получил Entropy со вскрытым кейсом. После долгих переписываний с разработчиками, они сами подтвердили, что имея доступ к Entropy, можно изменить в ней прошивку и после она может полностью контроливать даже сами апдейты. Дело в том, что прошивку можно менять самому, но код проверяется цифровой подписью. Но паблик ключ подписи разработчика можно менять через конфиг. То есть, можно самому взять код Entropy, как угодно его изменить и перепрошить со своим ключом. После этого, стандартные процедуры апдейта могут полностью контролироваться кодом. Eсли пофантазировать, можно так изменить код Entropy, что он будет «прикидываться» оригинальным кодом — делать вид, что обновления делаются, что можно «перепрошить» заново на код разработчика, но на самом деле код внутри девайса будет оставаться с back door.

    Другими словами, если вы получили вскрытый кейс, запросто может оказаться, что там будет всё время стоят код злоумышленников без возможности проапдейтить. Если допустить, что в хакнутом Entropy засунули HD кошелёк, мастер сид-ключ от которого есть у злоумышленников, а адреса «не генерятся», а «детерменистически» создаются, то в один прекрасный день все биткойны с бумажных адресов могут быть украдены. И оффлайн принтер тут не поможет.

    И хочу ещё раз подчеркнуть — стандартый совет разработчиков перепрошить тут не поможет. К тому же, текущая версия перепрошивается, если версия в девайсе отличается от новой. Да и доверять этому процессу после вкрытия не могу — откуда я знаю: неперепрошивается у меня потому, что версии равны, или просто хекнутый код не даёт это сделать?

    Вообщем вот так то …

  2. По идеи, приватный ключ на устройстве должен генерировать конечный пользователь. Тогда что опасного в том, что кто-то просканировал пустое устройство?

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here