Мобильный криптосейф: как защитить биткоины от хакеров

Павел Эйгес Forbes Contributor
Фото Jaap Arriens / Zuma / TASS
Самый удобный способ хранения криптовалют оказывается самым небезопасным

Крупные преступные группы полностью переключились на криптоиндустрию, предупреждают ведущие консультанты по защите данных. Взлет суммарной капитализации криптовалют до $370 млрд, «биткоиновая лихорадка» и возможность скрыться за анонимностью блокчейна сделали криптоиндустрию желанной мишенью для хакеров всего мира. По разным данным они уже украли криптовалют на сумму от $168 млн до $300 млн. В ход идут фишинговые сайты, популярностью не уступающие оригинальным, и даже звонки мобильным операторам с просьбой переключить номер абонента на устройство мошенника. Но главными троянскими воротами криптовалютного фрода стали мобильные устройства. Управлять кошельком со смартфона удобнее, чем использовать аппаратные, десктопные или онлайн-кошельки, но весь вопрос в том, с какого.

Хакерские отмычки любят Android

Подарком для охотников за чужой криптовалютой стали уязвимости ОС Android, одной из самых распространенных (87,4% всех мобильных устройств) и, в силу этого, уязвимых операционных систем — Android. Количество различных сервисов-кошельков в Google Play уже превышает 2000, ежемесячно появляются новые. По данным исследования High-Tech Bridge, более 66% из приложений не используют безопасный протокол HTTPS, а более 94% уязвимы по трем и более параметрам. Кроме того, практически все протестированные приложения (более 96%) применяют устаревшие методы шифрования данных.

Но даже в случае полной безопасности приложений гарантии от кражи цифровых денег минимальны. Дело в нативной уязвимости самой ОС Android: для защиты данных нужны регулярные обновления операционной системы, которые в силу многообразия производителей и конечных устройств приходят с большим временным лагом. К моменту релизу новой версии ОС программы-шпионы успевают обновиться десятки раз и найти новые бреши, и так по кругу. Говоря проще, любой криптокошелек на Android может внезапно стать чужим.

Другие серьезные проблемы: прошивки для Android, собирающие личные данные, например, «Прошивка без проводов (FOTA)» и SecureRandom — компонент системы, отвечающей за генерацию случайных чисел, задействованный при использовании практически всех bitcoin-кошельков для Android.

Об опасностях смартфонов на базе Android владельцам криптовалют заявлял и представитель самого Google — владельца ОС — Майк Хирн и авторитетный эксперт по защите данных Крис Мейер. Оба специалиста называли наиболее существенной проблемой уже упомянутый SecureRandom. Основатель bitcoinmine.club Джоби Викс, отметил уязвимость мобильных гаджетов при хранении криптовалют, комментируя атаку хакера на собственный смартфон, в результате которой он потерял более 100 биткоинов. Словом, использование устройств на базе этой системы дает возможность для неавторизованного доступа к биткойн ключам, причем несколькими путями.

Помимо «шпионских» прошивок, проблем с генерацией случайных чисел, а также потенциально опасных приложений, существуют более изощренные программные средства для взлома, например, новая версия бага Stagefright («боязнь сцены»), использующая уязвимость форматов mp3 и mp4 для атаки устройств через отправку MMS-сообщений. Программа активирует вредоносный код даже после просмотра превью на видео. По признанию главы отдела безопасности компании Адриана Людвига, «сцены боятся» 95% всех устройств Android, новой версии бага 99%. Если предположить, что даже каждый пятый владелец криптовалют использует мобильные кошельки на Android устройствах, то при нынешней капитализации криптовалют, угроза нависла над $74 млрд и десятками тысяч пользователей.

«Банки» для криптовалют

Альтернативы, конечно, же есть. Специальные средства, такие, например, как аппаратные кошельки, которые в народе называют «безопасными флешками», безусловно, резко снижают риски. Сами криптоключи в них ограждены от ПО устройства, передающего информацию. Но при этом возникают сложности с количеством устройств, непривычным управлением и дополнительными функциональными неудобствами. В общем, аппаратная версия кошелька не является полноценной альтернативой смартфону. Использование же специализированного смартфона, заточенного под безопасность: со специальной ОС, защищенной и с точки зрения криптографифии, и антивирусной системой, работающей более эффективно в силу регулярных обновлений системы операционной, — да и в целом не подверженной такому шквалу атак вирусов и шпионов, сохранит и удобство, и портативность.

Мобильные операции с криптовалютами — это удобно. И отказ от них едва ли снизит интерес злоумышленников к криптоиндустрии. Для сохранения возможности переводить криптовалюты из любой точки мира с одновременным обеспечением безопасности активов достаточно правильно выбрать аппаратные средства. Безопасность сбережений начинается с отношения к ним. Подобно классическим деньгам, которые мы защищаем прочными стенами и надежными дверями банковских сейфов, криптовалюты следует защищать устройствами, вероятность взлома которых сравнима, с вероятностью ограбления банка.

Новости партнеров