Si la comunidad de seguridad pudiera decirle solo una cosa, es que “nada es imposible de piratear”. Excepto la billetera de criptomonedas de John McAfee, que solo era imposible de piratear hasta que no lo era, dos veces.
Los investigadores de seguridad ahora han desarrollado un segundo ataque, que dicen que puede obtener todos los fondos almacenados de una billetera Bitfi sin modificar. La billetera de 120 dólares impulsada por Android se basa en una frase secreta generada por el usuario y un valor de “sal”, como un número de teléfono, para codificar criptográficamente la frase secreta. La idea es que los dos valores únicos garanticen la seguridad de sus fondos.
Pero los investigadores dicen que la frase secreta y la sal se pueden extraer, lo que permite generar claves privadas y robar los fondos.
Con este “ataque de arranque en frío”, es posible robar fondos incluso cuando una billetera Bitfi está apagada. Hay un video a continuación.
en una nota completamente ajena, aquí hay una @ Bitfi6 siendo atacado por arranque en frío.
resulta que rootear el dispositivo no borra la RAM. ¿¡Quién lo hubiera pensado!?
🎶 Siento que esta música es muy apropiada para @ Bitfi6 🎶 pic.twitter.com/jpSnYBd9Vk
– Saleem “Unhackable” Rashid (@spudowiar) 30 de agosto de 2018
Los investigadores, Saleem Rashid y Ryan Castellucci, descubrió y construyó los exploits como parte de un equipo de varios investigadores de seguridad que se autodenominan “THCMKACGASSCO” (después de sus iniciales). Los dos investigadores los compartieron con TechCrunch antes de su lanzamiento. En el video, se muestra a Rashid configurando una frase secreta y sal, y ejecutando un exploit local para extraer las claves del dispositivo.
Rashid le dijo a TechCrunch que las claves se almacenan en la memoria por más tiempo de lo que afirma Bitfi, lo que permite que sus exploits combinados ejecuten código en el hardware sin borrar la memoria. Desde allí, un atacante puede extraer la memoria y encontrar las claves. El exploit tarda menos de dos minutos en ejecutarse, dijo Rashid.
“Este ataque es confiable y práctico, y no requiere hardware especializado”, dijo Andrew Tierney, investigador de seguridad de Pen Test Partners, que verificó el ataque.
Tierney fue uno de los piratas informáticos detrás del primer ataque de Bitfi. La empresa respaldada por McAfee ofreció una recompensa de 250.000 dólares por cualquiera que pudiera llevar a cabo lo que sus creadores consideran un “ataque exitoso”. Pero Bitfi se negó a pagar, argumentando que el truco estaba fuera del alcance de la recompensa, y en su lugar recurrió a publicar amenazas en Twitter.
Este nuevo ataque, dice Tierney, “cumple con los requisitos de la recompensa en espíritu, incluso si no cumple con los términos específicos que Bitfi ha establecido”.
McAfee a principios de este mes dijo, “la billetera es pirateada cuando alguien obtiene las monedas”.
La prensa que afirma que la billetera BitFi ha sido pirateada. Absoluto sin sentido. La billetera es pirateada cuando alguien obtiene las monedas. Nadie recibió monedas. Obtener acceso de root en un intento de obtener las monedas no es un truco. Es un intento fallido. Todos estos supuestos “hacks” no consiguieron las monedas.
– John McAfee (@officialmcafee) 3 de agosto de 2018
Bill Powel, vicepresidente de operaciones de Bitfi, le dijo a TechCrunch en un correo electrónico que la empresa define un hack “como cualquier cosa que permita a un atacante acceder a los fondos retenidos en la billetera”.
“Debido a que el dispositivo no almacena claves privadas, eso es lo que provocó el reclamo de no hackear”, dijo.
Cuando se presionó, Powel no abordó las afirmaciones específicas del ataque de arranque en frío. McAfee, que fue copiado en el correo electrónico a Bitfi, no respondió.
Una hora después de que los investigadores publicaran el video, Bitfi dijo en una declaración tuiteada que ha “contratado a un gerente de seguridad con experiencia, que está confirmando las vulnerabilidades que han sido identificadas por los investigadores”.
“Con efecto inmediato, cerramos los programas de recompensas actuales que han causado una ira y una frustración comprensibles entre los investigadores”, agregó.
La declaración también dijo que ya no utilizará el reclamo “imposible de piratear” en su sitio web.
Rashid dijo que no tiene planes inmediatos de lanzar el código de explotación para evitar que los pocos miles de usuarios de Bitfi se pongan en riesgo.
Solo el mes pasado Bitfi ganó el premio Pwnie por Lamest Vendor Response, un premio tradicional otorgado en la conferencia Black Hat para las empresas que reaccionan peor en respuesta a problemas de seguridad.