McAfee’s Bitfi Bitcoin-Wallet doch nicht zu 100% sicher?

Aus Sicht aller User von Krypto-Wallets wäre es wünschenswert, gäbe es ein Format, das 100-prozentige gegen Hackerangriffe bietet. Der Unternehmer John McAfee bzw. sein gleichnamiges Unternehmen hatten seit längerem damit geworden, dass das hauseigene Angebot „Bitfi“ eben diese Anforderung erfülle. Nun aber zeigt sich: Auch diese Wallet zur Aufbewahrung von Bitcoins ist eben nicht vollständig sicher.

Optimale Sicherheit auch bei Bitfi nicht gegeben

Einer Gruppe von Sicherheitsforschern ist es gelungen, einige Phrasen aus dem System herauszulesen. Damit ist widerlegt, dass Bitfi „unhackbar“ ist, wie es bis dato hieß. Es ist zudem nicht das erste Mal, dass eigentlich sichere Daten ausgelesen wurden.

Damit verliert die Bitcoin-Wallet auf Android-Basis endgültig die Berechtigung, sich als als vollends sicher zu bezeichnen. Das Erschreckende daran: Die Mühen der Forscher hielten sich in überschaubaren Grenzen, wie es in einer Stellungnahme heißt. Wäre es gewollt gewesen, hätten die Experten das komplette Kontingent an Bitcoins aus der angegriffenen digitalen Geldbörse abheben können.


Forscher zeigen Sicherheitslücke mit Cold-Boot-Angriff

Das Antiviren-Software-Unternehmen McAfee reagierte und gab bekannt, den Dienst nicht länger als nicht-hackbar bezeichnen zu wollen. Hintergrund des „Vorfalls“ war wie schon bei anderen Tests in der Vergangenheit eine Cold-Boot-Attacke.

Die Forscher Ryan Castellucci und Saleem Rashid hatten sich für diesen Ansatz entschieden, um binnen lediglich zwei Minuten geheime Passphrase abzurufen und über ein (angeblich) gerootetes Gerät zudem den Salt-Wert erhalten, wie ein Video zeigt, welches über Twitter veröffentlicht wurde.

on a completely unrelated note, here is a @Bitfi6 being cold boot attacked.

it turns out that rooting the device does not wipe RAM clean. who would have thought it!?

???? i feel this music is very appropriate for @Bitfi6 ???? pic.twitter.com/jpSnYBd9Vk

— Saleem “Unhackable” Rashid (@spudowiar) 30. August 2018

Bitfi-Schlüssel länger als garantiert verfügbar?

Für technische Laien sei gesagt, dass diese Daten bereits ausreichend für eine Geräte-Übernahme sind. Die Meldung kommt zu einem denkbar schlechten Zeitpunkt, denn erst kürzlich hatte der Bitfi-Anbieter verlautbaren lassen, dass der Transaktionsschlüssel nur kurze Zeit im Systemspeicher eines einzelnen Gerätes verbleibt.

Diese Aussage sehen die Forscher mit dem Angriff als widerlegt. Aber: Nach zwei von Erfolg gekrönten Hacks konnte die vom Anbieter ausgeschriebene Summe von einer Viertelmillion US-Dollar nicht kassiert werden. Denn die von McAfee verlangten Kriterien eines Zugriffs waren laut dem Unternehmen auch bei dieser Attacke nicht erfüllt werden.

Die Belohnung könnte sich also weiterhin jemand anderes sichern, indem er oder sie die 120-US-Dollar-Wallet des Anbieters unter Einhaltung der geltenden Bedingungen hackt.