В смартфоне Saga от Solana обнаружена «дыра», позволяющая красть крипту

Аналитики компании CertiK выявили серьезную уязвимость в смартфоне Saga от Solana, представляющую потенциальную угрозу для безопасности хранения криптовалюты пользователей.

В процессе восстановления смартфона специалисты CertiK установили бэкдор и разблокировали доступ к загрузчику операционной системы. После этого устройство выдало предупреждение о том, что «целостность программного обеспечения не может быть гарантирована», подчеркивая, что данные на устройстве могут быть доступны злоумышленникам.

Далее исследователи подключили смартфон к WiFi и установили связь с командно-контрольным сервером на ноутбуке. Используя root-права на уязвимом устройстве и bash-скрипты, они смогли извлечь биткоины из встроенного кошелька.

Однако, внештатный советник Solana и CCO HAPI, Марк Лецюк, заявил, что в демонстрируемом ролике CertiK не раскрываются известные уязвимости или угрозы безопасности для владельцев Saga. Он объяснил, что видео показывает пользовательское разблокирование загрузчика, что, в принципе, возможно на многих устройствах Android, и что в Saga эта функция по умолчанию отключена.

Позже CertiK сообщила, что предоставленные ими данные были признаны компаниями Samsung и Apple.

Следует отметить, что устройство Saga от Solana было представлено в июне 2022 года и обладает функциональностью Web3, что позволяет использовать его в качестве аппаратного кошелька. Продажи Saga стартовали 8 мая 2023 года.