У смартфоні від Solana знайшли критичну вразливість
Аналітики CertiK виявили критичну вразливість у смартфоні Saga від Solana, яка дає змогу викрадати криптовалюти користувача.
Фахівці компанії в режимі відновлення змогли встановити на пристрій бекдор і розблокувати доступ до завантажувача операційної системи.
Смартфон відобразив попередження про те, що з цього моменту «цілісність програмного забезпечення не може бути гарантована».
«Будь-які дані, що зберігаються на пристрої, можуть бути доступні зловмисникам», — сказано в повідомленні.
Після цього вони під’єднали смартфон до WiFi, щоб встановити зв’язок із командно-контрольним сервером на ноутбуці. Завдяки root-правам на вразливому пристрої та використанню bash-скриптів дослідники вивели всі біткоїни з вбудованого гаманця.
Додаткових коментарів щодо проблеми в CertiK не надали.
CCO HAPI Марк Лецюк уточнив, що в ролику CertiK, який демонструє CertiK, не розкривають якихось відомих вразливостей або загроз безпеці власникам Saga.
«На відео користувач розблоковує завантажувач, що можна зробити на багатьох пристроях Android. У Saga ця додаткова функція за замовчуванням відключена. Однак вона не є вразливістю безпеки — авторизований користувач повинен явно дозволити внесення таких змін у свій пристрій», — пояснив експерт.
Він також додав, що однією з ключових інновацій Saga є Seed Vault — вбудована система зберігання з підвищеною безпекою для сід-фраз і підтримуваних цифрових активів.
«Користувачам Saga завжди рекомендується вмикати гаманці Seed Vault для захисту своїх цифрових активів. Важливо зазначити, що Seed Vault не використовується в гаманці CertiK, показаному на відео», — додав Лецюк.
Уперше Solana Labs представила Saga в червні 2022 року. В апаратне і програмне забезпечення телефону інтегровано функції Web3, що дає змогу використовувати його як апаратний гаманець.
Нагадаємо, продажі Saga стартували 8 травня 2023 року.