Instalan DOOM en la cartera de criptomonedas de McAfee
La empresa apadrinada por John McAfee para crear una cartera de criptomonedas “inhackeable” no para de quedar en evidencia. Reciéntemene un investigador de seguridad holandés había conseguido rootear en sólo una semana el dispositivo físico en el que se basa, y ahora un joven investigador ha ido un paso más allá instalando aplicaciones de terceros en él. Concretamente el mítico videojuego ‘DOOM‘.
McAfee defendió a su empresa en su día asegurando que rootear no es lo mismo que hackear, algo que ya le ha valido una nominación de los premios de seguridad Pwnie a la peor respuesta empresarial. Habiendo instalado un juego en el dispositivo, lo que queda claro es que no tiene las medidas de seguridad necesarias para impedir que se instalen otras aplicaciones maliciosas como keyloggers que pudieran vulnerar la seguridad de sus usuarios.
In recognition of @Bitfi6 and @officialmcafee and their prestigious @PwnieAwards accolades, we'd like to show you @spudowiar playing DooM on his #BitFi secure wallet! Congratulations! pic.twitter.com/50qZZu1MnF
— Abe Snowman – Yeti Vigilante ☃️ (@AbeSnowman) August 9, 2018
La empresa se llama Bitfi, y está intentando comercializar una cartera de criptomonedas física que cuesta 200 dólares, y que te puedes llevar siempre contigo para tener siempre contigo las criptomonedas y todas las claves. Sin embargo, en sólo una semana la seguridad del software quedó en entredicho cuando consiguieron instalarlo en un ordenador, y ahora es el propio dispositivo el que ha quedado en evidencia al haber conseguido instalar y utilizar una aplicación.
¿Y por qué es esto importante? Pues porque para instalar y jugar a un juego como este hace falta que el dispositivo te conceda varios permisos. Por ejemplo, necesitas instalar y realizar una ejecución arbitraria de código, leer y escribir sobre la memoria RAM, o tener acceso al control de la pantalla táctil.
While seemingly cavalier, playing a game requires a few permissions to be granted:
— Abe Snowman – Yeti Vigilante ☃️ (@AbeSnowman) August 9, 2018
install and execute arbitrary code;
read and write from storage and RAM;
write to framebuffer;
read from touchscreen.
Now, think about how *you* would steal coins. I bet there's a bit if overlap.
Tal y como se ha encargado de comentar el mismo investigador, si quisieras intentar robar criptomonedas de una cartera como esa necesitarías prácticamente los mismos permisos. Por lo tanto, si puedes conseguir instalar DOOM también podrías utilizar los mismos permisos para instalar software malicioso en la cartera de alguien.
Lo que queda claro es que a la empresa apadrinada por McAfee les está saliendo muy caro el fanfarronear de haber conseguido una solución a prueba de vulnerabilidades.
The press claiming the BitFi wallet has been hacked. Utter nonsense. The wallet is hacked when someone gets the coins. No-one got any coins. Gaining root access in an attempt to get the coins is not a hack. It's a failed attempt. All these alleged "hacks" did not get the coins.
— John McAfee (@officialmcafee) August 3, 2018
La prensa afirma que la billetera BitFi ha sido pirateada. Absoluto sin sentido. La billetera es pirateada cuando alguien recibe las monedas. Nadie tiene monedas. Obtener acceso a la raíz en un intento de obtener las monedas no es un truco. Es un intento fallido. Todos estos supuestos “hacks” no obtuvieron las monedas.
John McAfee
Fundador de McAfee
Difícilmente hay soluciones inhackeables, y si acompañas esta afirmación de una excesiva recompensa de 250,000 dólares con la que dar una imagen de seguridad, tienes bastantes papeletas para quedar en mal lugar en cuanto la comunidad empieza a revisarlo todo.
A pesar de todo esto, la empresa lanzó después una segunda campaña con recompensas de 10,000 dólares para quienes encontrasen vulnerabilidades en su solución. Habrá que ver si estas llegan a tiempo o si Bitfi ya ha sido herida de muerte sólo dos semanas después de lanzar su cartera.
