Мобильный криптосейф: как защитить биткоины от хакеров

Крупные преступные группы полностью переключились на криптоиндустрию, предупреждают ведущие консультанты по защите данных. Взлет суммарной капитализации криптовалют до $370 млрд, «биткоиновая лихорадка» и возможность скрыться за анонимностью блокчейна сделали криптоиндустрию желанной мишенью для хакеров всего мира. По разным данным они уже украли криптовалют на сумму от $168 млн до $300 млн. В ход идут фишинговые сайты, популярностью не уступающие оригинальным, и даже звонки мобильным операторам с просьбой переключить номер абонента на устройство мошенника. Но главными троянскими воротами криптовалютного фрода стали мобильные устройства. Управлять кошельком со смартфона удобнее, чем использовать аппаратные, десктопные или онлайн-кошельки, но весь вопрос в том, с какого.

Хакерские отмычки любят Android

Подарком для охотников за чужой криптовалютой стали уязвимости ОС Android, одной из самых распространенных (87,4% всех мобильных устройств) и, в силу этого, уязвимых операционных систем — Android. Количество различных сервисов-кошельков в Google Play уже превышает 2000, ежемесячно появляются новые. По данным исследования High-Tech Bridge, более 66% из приложений не используют безопасный протокол HTTPS, а более 94% уязвимы по трем и более параметрам. Кроме того, практически все протестированные приложения (более 96%) применяют устаревшие методы шифрования данных.

Но даже в случае полной безопасности приложений гарантии от кражи цифровых денег минимальны. Дело в нативной уязвимости самой ОС Android: для защиты данных нужны регулярные обновления операционной системы, которые в силу многообразия производителей и конечных устройств приходят с большим временным лагом. К моменту релизу новой версии ОС программы-шпионы успевают обновиться десятки раз и найти новые бреши, и так по кругу. Говоря проще, любой криптокошелек на Android может внезапно стать чужим.

Другие серьезные проблемы: прошивки для Android, собирающие личные данные, например, «Прошивка без проводов (FOTA)» и SecureRandom — компонент системы, отвечающей за генерацию случайных чисел, задействованный при использовании практически всех bitcoin-кошельков для Android.

Об опасностях смартфонов на базе Android владельцам криптовалют заявлял и представитель самого Google — владельца ОС — Майк Хирн и авторитетный эксперт по защите данных Крис Мейер. Оба специалиста называли наиболее существенной проблемой уже упомянутый SecureRandom. Основатель bitcoinmine.club Джоби Викс, отметил уязвимость мобильных гаджетов при хранении криптовалют, комментируя атаку хакера на собственный смартфон, в результате которой он потерял более 100 биткоинов. Словом, использование устройств на базе этой системы дает возможность для неавторизованного доступа к биткойн ключам, причем несколькими путями.

Помимо «шпионских» прошивок, проблем с генерацией случайных чисел, а также потенциально опасных приложений, существуют более изощренные программные средства для взлома, например, новая версия бага Stagefright («боязнь сцены»), использующая уязвимость форматов mp3 и mp4 для атаки устройств через отправку MMS-сообщений. Программа активирует вредоносный код даже после просмотра превью на видео. По признанию главы отдела безопасности компании Адриана Людвига, «сцены боятся» 95% всех устройств Android, новой версии бага 99%. Если предположить, что даже каждый пятый владелец криптовалют использует мобильные кошельки на Android устройствах, то при нынешней капитализации криптовалют, угроза нависла над $74 млрд и десятками тысяч пользователей.