Криптоэнтузиаст и одиозный бизнесмен Джон Макафи обещал 100 тыс. долларов тому, кто сможет взломать его криптовалютный кошелек Bitfi. Однако гаджет от MGT Capital Investments оказался шпионом: немного переделанный Android-смартфон собирал данные и отправлял их в Китай, сообщил разработчик программного обеспечения Райан Кастеллуччи.
Кастеллуччи исследовал список папок, которые загружаются во встроенную память устройства во время включения, и обнаружили в нем набор вредоносных инструментов Adups FOTA. Оказалось, что раз в 72 часа кошелек отправляет информацию о текстовых сообщениях, звонках, геоинформацию и другие данные приложений на сервер в Китае.
Bitfi appears to be exactly what it looks like from the photos — a cheap stripped down Android phone. There’s some screenshots of it demanding to be connected to WiFi in order to function elsewhere in @cybergibbons's feed. Someone will probably have Doom running on it by Friday. https://t.co/cC1pZsahJH
— Ryan Castellucci (@ryancdotorg) July 29, 2018
Кроме того, на криптокошельке нашли предустановленное китайское приложение Baidu со встроенной функциональностью трекинга Wi-Fi и GPS. А вот внутреннего холодного хранилища не нашли — фактически гаджет оставляет средства пользователя в горячем кошельке, что небезопасно.
Макафи подтвердил, что криптокошелек является телефоноподобным устройством. Он добавил:
В нем нет внутреннего хранилища. Кошелек получает инструкции для каждой монеты с нашего сервера.
Эксперты заявили, что использовать Bitfi — всё равно что хранить криптовалюту в интернете. Его безопасность фактически сводится к способности передавать приватные ключи и seed-фразы.
Все данные об устройстве получили с помощью бесплатного инструмента SP Flash Tool. Он считывает данные с чипсетов Mediatek.
Разработчики подчеркнули, что именно компания Макафи установила на гаджет шпионский софт:
Устройство работает в режиме «только для чтения», то есть данные на нем не могут быть перезаписаны. Значит все шпионское ПО, скорее всего, было загружено еще в момент выпуска.