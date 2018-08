La próxima vez que alguien vaya a utilizar un término como “inhackeable”, más vale que recuerde lo que le está pasando a la empresa Bifti apadrinada por John McAfee. Sí, es lo que estás pensando, su cartera de criptomonedas ha vuelto a ser hackeada, en esta ocasión para enviar con éxito transacciones firmadas a través del dispositivo, algo que en teoría debía impedir que fuera posible mediante sus mecanismos de defensa.

Además, los investigadores también han conseguido interceptar los datos entre dispositivo y servidor, y enviar las claves y contraseñas del dispositivo a un servidor remoto, algo que sería necesario en un hipotético robo.

Este nuevo revés para la criptomoneda física viene sólo tres semanas después de su lanzamiento. Desde entonces, en la primera semana se consiguió tener acceso root al dispositivo, para a la semana siguiente conseguir instalar aplicaciones de terceros como el mítico DOOM, con la concesión de permisos que eso supone.

Desmontando la cartera "inhackeable"

Para conseguir realizar este tipo de transacciones desde la cartera física, lo primero que se necesitaba era tener acceso root, algo que se consiguió una semana después de su lanzamiento. Con ello, los investigadores han podido mirar detenidamente cómo funciona el dispositivo y el tipo de datos que envía.

Oh? What's that? Syncing with the dashboard and being able to intercept traffic.

A raíz de esa investigación, los investigadores se dieron cuenta de que la cartera seguía conectada a los servidores de Bitfi incluso tras hacer varias modificaciones. Esto les permitió interceptar el tráfico entre el dispositivo y los servidores centrales, lo que ya de por si es un auténtico peligro para la privacidad de los usuarios.

Well, that's a transaction made with a MitMed Bitfi, with the phrase and seed being sent to a remote machine.



That sounds a lot like Bounty 2 to me.

Pero es que hay más, porque los investigadores también han sido capaces de enviar mensajes personalizados y, lo que es más importante, también de enviar las claves privadas del dispositivo a un servidor remoto, incluyendo la frase que sirve como contraseña. Todo un despropósito para la seguridad de la que prometía ser una cartera invulnerable.

En busca de una recompensa que puede no llegar

Con este descubrimiento, los investigadores aseguran haber cumplido con los requisitos para poder obtener la recompensa de 10.000 dólares que Bitfi estaba ofreciendo. Para obtener la recompensa, la empresa requería que los investigadores fueran capaz de probar que pueden modificar el dispositivo, conectarse a los servidores de Bitfi, y enviar datos sensibles utilizando el dispositivo.

Correct, it has been proven possible to install other software on device (& patches are being pushed out to fix this), but, no one has yet been able to demonstrate that they can install new software while still allowing device to function as Bitfi wallet. That is all that counts.

Sin embargo, el discurso de la empresa sigue siendo el de agarrarse a cualquier clavo ardiendo por ridículo que parezca, por lo que no está claro que vayan a cumplir con lo prometido. Un día antes de que se revelase este nuevo hackeo, todavía seguían diciendo que lo importante era que todavía nadie había conseguido instalar software mientras el dispositivo siguiese funcionando como cartera, algo que ahora queda en entredicho.

A video played on your Bitfi wallet has nothing to do with the safety of your funds. This is amateur hour, not a hack! Any device with a computer and screen can be used to play games. I should start watching my YouTube videos on Bitfi wallet.

El propio McAfee seguía insistiendo también en que el hackeo de instalar el Doom no ponía en peligro la seguridad de las criptomonedas de los clientes, llamando amateurs a los investigadores que llevaban dos semanas dejando en ridículo su wallet. Desde que ayer fue desvelado este nuevo hackeo, ni la empresa ni McAfee han hecho declaraciones al respecto.

