Криптовалютный кошелек Bitfi, разработанный командой основателя MGT Capital Investments Джона Макафи, оказался «дешевым переделанным Android-смартфоном». Об этом сообщил разработчик программного обеспечения Райан Кастеллуччи.
Хакеры начали тщательно изучать устройство после обещанной награды в $100 тысяч за его взлом.
Так, они исследовали список директорий, загружающихся во встроенную память устройства во время включения, и обнаружили в нем набор вредоносных инструментов Adups FOTA. Их опасения вызвал тот факт, что раз в 72 часа устройство отправляет информацию о текстовых сообщениях, звонках, локации и данные приложений на сервер в Китае.
Также на устройстве предустановлено китайское приложение Baidu со встроенной функциональностью трекинга Wi-Fi и GPS. Устройство не имеет внутреннего холодного хранилища, а все средства пользователей остаются на горячем кошельке.
Сам Джон Макафи подтвердил, что так называемый «кошелек» является телефоноподобным устройством.
«В нем нет внутреннего хранилища. Кошелек получает инструкции для каждой монеты с нашего сервера», — написал он в Twitter.
Исследователи резюмируют, что кошелек Bitfi не отличается от любого другого решения для хранения криптовалюты в сети, поскольку его безопасность сводится к способности передавать приватные ключи и seed-фразы.
Примечательно, что всю эту информацию хакеры получили при помощи бесплатного инструмента SP Flash Tool, считывающего данные с чипсетов Mediatek.
«Устройство работает в режиме «только для чтения», то есть данные на нем не могут быть перезаписаны. Значит все шпионское ПО, скорее всего, было загружено еще в момент выпуска», — предположили они.
Хакеры намерены продолжить «сухое» тестирование устройства Bitfi, сканируя его содержимое.
Напомним, стоимость кошелька Bitfi составляет $120.