Nuevo hackeo de la cartera "inhackeable" de McAfee: ahora con intercepción de datos y envío de credenciales

Nuevo hackeo de la cartera "inhackeable" de McAfee: ahora con intercepción de datos y envío de credenciales
4 comentarios Facebook Twitter Flipboard E-mail

La próxima vez que alguien vaya a utilizar un término como “inhackeable”, más vale que recuerde lo que le está pasando a la empresa Bifti apadrinada por John McAfee. Sí, es lo que estás pensando, su cartera de criptomonedas ha vuelto a ser hackeada, en esta ocasión para enviar con éxito transacciones firmadas a través del dispositivo, algo que en teoría debía impedir que fuera posible mediante sus mecanismos de defensa.

Además, los investigadores también han conseguido interceptar los datos entre dispositivo y servidor, y enviar las claves y contraseñas del dispositivo a un servidor remoto, algo que sería necesario en un hipotético robo.

Este nuevo revés para la criptomoneda física viene sólo tres semanas después de su lanzamiento. Desde entonces, en la primera semana se consiguió tener acceso root al dispositivo, para a la semana siguiente conseguir instalar aplicaciones de terceros como el mítico DOOM, con la concesión de permisos que eso supone.

Un vistazo a…
Cómo comprar Bitcoins de forma segura y sin riesgo

Desmontando la cartera "inhackeable"

Para conseguir realizar este tipo de transacciones desde la cartera física, lo primero que se necesitaba era tener acceso root, algo que se consiguió una semana después de su lanzamiento. Con ello, los investigadores han podido mirar detenidamente cómo funciona el dispositivo y el tipo de datos que envía.

A raíz de esa investigación, los investigadores se dieron cuenta de que la cartera seguía conectada a los servidores de Bitfi incluso tras hacer varias modificaciones. Esto les permitió interceptar el tráfico entre el dispositivo y los servidores centrales, lo que ya de por si es un auténtico peligro para la privacidad de los usuarios.

Pero es que hay más, porque los investigadores también han sido capaces de enviar mensajes personalizados y, lo que es más importante, también de enviar las claves privadas del dispositivo a un servidor remoto, incluyendo la frase que sirve como contraseña. Todo un despropósito para la seguridad de la que prometía ser una cartera invulnerable.

En busca de una recompensa que puede no llegar

Con este descubrimiento, los investigadores aseguran haber cumplido con los requisitos para poder obtener la recompensa de 10.000 dólares que Bitfi estaba ofreciendo. Para obtener la recompensa, la empresa requería que los investigadores fueran capaz de probar que pueden modificar el dispositivo, conectarse a los servidores de Bitfi, y enviar datos sensibles utilizando el dispositivo.

Sin embargo, el discurso de la empresa sigue siendo el de agarrarse a cualquier clavo ardiendo por ridículo que parezca, por lo que no está claro que vayan a cumplir con lo prometido. Un día antes de que se revelase este nuevo hackeo, todavía seguían diciendo que lo importante era que todavía nadie había conseguido instalar software mientras el dispositivo siguiese funcionando como cartera, algo que ahora queda en entredicho.

El propio McAfee seguía insistiendo también en que el hackeo de instalar el Doom no ponía en peligro la seguridad de las criptomonedas de los clientes, llamando amateurs a los investigadores que llevaban dos semanas dejando en ridículo su wallet. Desde que ayer fue desvelado este nuevo hackeo, ni la empresa ni McAfee han hecho declaraciones al respecto.

Vía | The Next Web En Genbeta | La cartera "inhackeable" de criptomonedas de McAfee es tan segura que incluso instalaron el DOOM en ella

Comentarios cerrados
Inicio