Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя. 

Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы. 

Смартфон отобразил предупреждение о том, что с этого момента «целостность программного обеспечения не может быть гарантирована».

«Любые данные, хранящиеся на устройстве, могут быть доступны злоумышленникам», — сказано в сообщении.

После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька.

Дополнительных комментариев по проблеме в CertiK не предоставили.

Апдейт: 

CCO HAPI Марк Лецюк уточнил, что в демонстрируемом ролике CertiK не раскрываются какие-либо известные уязвимости или угрозы безопасности для владельцев Saga.

«На видео пользователь разблокирует загрузчик, что можно сделать на многих устройствах Android. В Saga эта дополнительная функция по умолчанию отключена. Однако она не является уязвимостью безопасности — авторизованный пользователь должен явно разрешить внесение таких изменений в свое устройство», — объяснил эксперт.

Он также добавил, что одной из ключевых инноваций Saga является Seed Vault — встроенная система хранения с повышенной безопасностью для сид-фраз и поддерживаемых цифровых активов.

«Пользователям Saga всегда рекомендуется включать кошельки Seed Vault для защиты своих цифровых активов. Важно отметить, что Seed Vault не используется в кошельке CertiK, показанном на видео», — добавил Лецюк.

Впервые Solana Labs представила Saga в июне 2022 года. В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек. 

Напомним, продажи Saga стартовали 8 мая 2023 года.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.