Если вы пользуетесь Биткойн-кошельком на мобильном Андроид-устройстве, возможно вам будут интересны следующие мнения инсайдеров криптовалютной индустрии.
Стартап, созданный DARPA (Управление перспективных исследовательских проектов Министерства обороны США) и DHS (Министерство внутренней безопасности США) утверждает, что обнаружено несколько моделей мобильных Андроид-устройств с прошивкой, собирающей важные персональные данные о своих пользователях, и передающей их на серверы третьей стороны, тайно и без согласия пользователя.
Kryptowire отмечает, что в ходе проверки этих устройств, доступных в основных Американских онлайн-магазинах, таких как Amazon и BestBuy, был обнаружен факт активной передачи информации о пользователе и о самом устройстве, включающей в себя полный текст всех сообщений, список контактов, историю звонков с полными номерами телефонов, уникальные идентификаторы устройства IMSI (международный идентификатор мобильного абонента) и IMEI (международный идентификатор мобильного оборудования).
Утверждается, что прошивка этих устройств, включая такие популярные смартфоны, как BLU R1 HD, также собирала и передавала информацию об использовании приложений, установленных в устройстве, обходя систему разрешений Android, выполняла посылаемые удалённо команды с повышенными системными правами, и давала возможность удалённо перепрограммировать устройства.
Kryptowire подчёркивает в своей статье, что:
Ядро всей слежки основано на использовании коммерческой системы “Прошивка без проводов (FOTA)”, это система обновления ПО поставляемая вместе с протестированными нами устройствами. Она поддерживается компанией Shanghai Adups Technology Co. Ltd.
Наши выводы основаны на сетевом анализе и на анализе кода прошивки. Информация об устройстве и пользователе автоматически собиралась и периодически передавалась, без согласия пользователя и без его информирования. Собранная информация зашифровывалась в несколько приёмов, а потом отправлялась через безопасные веб протоколы на сервер, расположенный в Шанхае. Это ПО и его поведение не обнаруживалось антивирусными мобильными средствами, ведь считалось что ПО, поставляемое вместе с устройством, безопасно, и поэтому его автоматически включали в список разрешенного.
В сентябре 2016 Adups утверждала на своём веб-сайте, что её аудитория составляет порядка 700 миллионов активных пользователей, и доля рынка превышает 70% в более чем 150-ти странах и областях, с офисами в Шанхае, Шэньчжэне, Пекине, Токио, Нью-Дели и Майами. Так же, сайт Adups отметил, что производит прошивку, встраиваемую в устройства от более чем 400 ведущих мобильных операторов, а также производителей полупроводников и других устройств, с охватом ниши от мобильных и переносных гаджетов до автомобилей и телевизоров.
Это звучит необычно, но такие утверждения указывают на риски, связанные с определённой прошивкой, которая может получить не авторизованный доступ к приватным биткойн ключам – если вы используете кошелёк на этих телефонах – иными словами, это означает воровство ваших биткойнов.
Главный исполнительный директор Bitpay Stephen Pair сказал, что вероятно это происходит при полном неведении пользователя телефона, однако он не подтверждает наличие здесь связи с определёнными хакерами – спонсируемыми государством, либо кем-то ещё.
Он сообщает Cointelegraph по электронной почте:
Да, такое вполне может случиться. ПО Биткойн кошелька изначально зависимо от безопасности используемой платформы. Поэтому есть вероятность, что вредоносный код, встроенный в эту платформу, может украсть приватные ключи (так же как и другие данные устройства). У нас нет никакой возможности узнать кто может быть ответственен за это.
Alvin Hagg, основатель Freewallet продолжает:
Уровень распространения Биткойна очень низок относительно массового рынка. Вероятность того, что кто-то соберёт данные тысяч людей и потом попытается получить доступ к Биткойн кошельку достаточно мала.
Однако, вопросы безопасности являются основными для компаний, предоставляющих услуги криптовалютных кошельков. Мы всегда анализируем все возможные комбинации взломов. Пользователи Freewallet не пострадают от потери биткойнов из-за утечки данных, поскольку мы не храним критически важную информацию на пользовательских устройствах. Основная часть пользовательских средств находится в оффлайн хранилище под защитой мультиподписи. Всё же, если вы храните приватный ключ на мобильном устройстве, вам наверняка надо быть готовым к риску потери средств.
Снижение рисков
Stephen Pair указывает на некоторые методы уменьшения такого рода рисков:
Один из способов снизить риск, это использование множества устройств и кошелька с мультиподписью (свойство, доступное в кошельках от BitPay и Copay). Вы также можете использовать холодное хранилище (когда ключи создаются и используются для подписи на устройстве, отключенном от любой сети). Хорошей практикой является хранение только небольших количеств биткойнов для текущих трат в кошельке, подключённом к сети, с простой подписью, независимо от используемой операционной системы или аппаратной платформы.
Joby Weeks, основатель bitcoinmine.club, утверждающий, что недавно потерял более 100 биткойнов из-за хакера, получившего доступ к аккаунту через его телефон, даёт такой совет:
Держите в кошельке телефона лишь столько биткойнов, сколько вы готовы потерять. Защитите его 2-ух факторной не смс аутентификацией. (2-ух факторная смс аутентификация опасна, если ваш телефонный провайдер без разрешения переадресовывает хакеру смс, идущие на ваш номер) как например это сделали со мной AT&T и T-mobile на прошлой неделе! Остальное держите в холодном хранилище или в нескольких аппаратных кошельках, таких как Trezor или Ledger.
Как только AT&T начали переадресовывать мои коды 2-факторной аутентификации (потому что они установили переадресацию на мой номер номер хакеру без разрешения), хакер получил доступ к моим аккаунтам. Он понял как взломать один из моих торговых аккаунтов, пока я был на круизном судне, и опустошил его. Я потерял более 100 биткойнов, все свои ETH, DAO, Ripple, ETC. Разиня.
