A Bitfi a második alkalommal már kénytelen volt belátni, hogy nem nevezheti feltörhetetlennek a termékét.

A pénztárca (wallet) programok azokat a biztonsági kódokat (tehát nem magát a virtuális pénzt, hanem a megfelelő privát kulcsokat) tárolják, amelyekkel a tulajdonos hozzáférhet saját címéhez, és akár tranzakciókat is indíthat a segítségével. Ezen belül többfajta, különféle eszközökre tervezett tárcatípusból választhatunk. A szoftver alapú tárcák egyik funkciója a "cold storage", ami a kulcsok offline védelmét biztosítja, hogy azokhoz senki se férhessen hozzá a hálózaton keresztül; léteznek ezen felül kifejezetten hardver alapú megoldások is, amelyek elektronikusan tárolják a kódokat.

A Bitfi nevű kriptowallet nemrég azzal került be a hírekbe, hogy feltörhetetlen védelemmel hirdette magát. A gyártó reklámarca ráadásul az a John McAfee, akinek a neve az utóbbi időben nem feltétlenül vált a minőség szinonimájává. Így nem kis visszhangot keltett, amikor McAfee először 100 ezer, később a társaság további 250 ezer dollárt ajánlott fel a júliusban piacra kerülő tárca első sikeres feltöréséért – pontosabban a gyártótól igényelhető, 50 bitcoinnal feltöltött eszközök kifosztásáért.

A rootolás egy vasat sem ért

A kísérletekre nem is kellett sokat várni. A 120 dolláros eszközt legelőször is darabokra kapták, hogy kiderüljön: a "világ legszofisztikáltabb műszere" tulajdonképpen egy némileg átalakított androidos telefon, amit a hardveres komponensek alapján összességében 35 dollár értékűre becsültek. A készülék ráadásul semmilyen védelemmel nincs ellátva a fizikai módosításokkal szemben: körömmel lepattintható a hátsó borítása, meg lehet piszkálni a hardverét, majd vissza lehet tenni a mit sem sejtő tulajdonos zsebébe.

Aztán nemsokára sor került a Bitfi rootolására is, nem beszélve a többi hiányosságról, mint például a kijelző és a chipkészlet közti, titkosítatlan I2C kapcsolat kihasználásáról, a fájlrendszer "dumpolásáról", a felhasználói adatokat gyűjtögető és továbbküldő szoftverről. Ezekért a Bitfi szerint azonban nem jár semmilyen jutalom: bár a "hibátlan, áthatolhatatlan biztonságot" emlegető gyártó valóban a bitcoinok átutalásáért tűzte ki a díjat, az egész kihívás nagyon gyorsan elkezdett komikussá válni.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »


A Bitfi és McAfee reakciói nemrég a legcikibb kereskedői magatartásért járó Pwnie-díjat is elhozták a Black Hat biztonsági konferencián, aztán augusztus végén kiderült: a bitcoinokat tényleg el lehet lopni a Bitfi tulajdonosaitól. Az eszköz egyébként – elvileg – nem tárolja a hozzáféréshez szükséges aktuális kulcsot, az azonosítás a titkos jelszó és a salt (egy véletlen bitsorozat) segítségével valósul meg. Mindez azonban nem sokat ér, ha a fizikai hozzáférést szerző támadó ki tudja nyerni a megfelelő kulcsokat, amelyeket a Bitfi a kelleténél jóval hosszabban tárol, még azután is, ha a felhasználó kikapcsolta a készüléket.

Erre már mehet a 250 ezer dollár

A sikeres "cold boot" hacket azóta hitelesítették is, így a Bitfi vezetőinek sem maradt sok választása, mint ötösből kettesbe váltani a korábbi hisztérikus hangnemről. Visszavonták a 250 ezres hibavadász jutalmat, amíg egy felbérelt külső szakártő megvizsgálja a sikeresnek mondott támadást (ennek részleteit egyébként a hackerek sem hozták nyilvánosságra, tekintettel a Bitfi néhány ezresre becsült felhasználói bázisára), és eltávolították oldalukról a "feltörhetetlen" védelmet ígérő szövegeket is. McAfee egy videointerjúban magyarázta, hogy az egész kampányra csak a hírverés miatt volt szükség, a Bitfi képviselője pedig majdhogynem könyörögve magyarázta, hogy a cégnek semmi sem fontosabb az ügyfelek biztonságánál.

A Bitfi dolga innentől nem lesz könnyű. A termékvisszahívás nemigen jön szóba, hiszen az eszközök a jelek szerint valóban tárolják a biztonsági kulcsokat, a szakértők szerint pedig egy firmware-frissítéssel sem lehet megoldani a problémát, mivel a Bitfi wallet olcsó Mediatek chipkészletet egyszerűen nem ilyen célú alakalmazásra tervezték, így bizonyos funkciói nem tilthatók vagy módosíthatók a firmware-en keresztül.

A tanulságot viszont könnyű lesz levonni: ha korábban még Oracle-szintű cégek is ráfaragtak a feltörhetetlen termékekkel való hencegésre, akkor egy startup számára sem biztos, hogy ez a legjobb módja a figyelem felkeltésének.

Biztonság

Már a Yettelnél is rendelhető vezetékes internet-előfizetés

A szolgáltató máris bejelentette az év második felére ígért vezetékes optikai internetszolgáltatását, amit hatékony kiegészítésnek szán eddigi, mobilhálózatra épülő ajánlatai mellé.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.