Китайская компания Cheetah Mobile, которая является провайдером электронного кошелька SafeWallet для хранения биткоина, обнаружила уязвимости в двух популярных криптовалютных кошельках под названиями Jaxx и bitcoin.com. По словам представительства Cheetah, ее эксперты уже связались с разработчиками подверженных уязвимости кошельков для устранения этих багов.

Эксперты из Cheetah Mobile обнаружили уязвимость в кошельке Bitcoin.com, а заключается она в том, что все данные мнемонических сид-фраз, которые необходимы для восстановления доступа к кошельку, хранятся на устройстве вовсе не в зашифрованном виде, а в качестве обычного текстового документа. Этот файл находится в операционной системе смартфона, он расположен в директории /data/data/ и называется com.bitcoin.mwallet. По сути, файл с фразами для восстановления является обычным локальным файлом, чего быть не должно.

Таким образом, хакеры могут запросто получить доступ к восстановлению кошелька, заразив смартфон жертвы специальным приложением, которое предоставляет полномочия для изменения корневых папок и файлов, хранящихся локально в памяти аппарата. Говоря более понятным языком, жертва самостоятельно может скачать инфицированное приложение, которое предоставит полный доступ хакерам к файлам для восстановления кошелька bitcoin.com. Что самое интересное, в Google Play уже неоднократно были обнаружены пиратские приложения, которые имели разрешения на доступ к корневым папкам смартфонов.

Что касается криптовалютного кошелька Jaxx, то его ключи надежно защищены алгоритмом шифрования AES, которое нередко используется даже спецслужбами США. Но проблема в том, что само по себе выполнение алгоритма шифрования происходит в коде мобильного приложения. А это значит, что хакеры могут с легкостью дешифровать данные с помощью специального программного дешифратора. Таким образом специальный дешифровочный ключ предоставит хакерам доступ к средствам, хранящимся на кошельке Jaxx.