‘Onhackbare’ Bitfi crypto-wallet na een week gehackt

© Getty Images/iStockphoto
Els Bellens
Els Bellens Technologiejournaliste bij Data News

De beveiligde portefeuille voor cryptogeld, die door maker Bitfi wordt aangeprezen als ‘onhackbaar’, is na een week gehackt. Het bedrijf zelf, en John McAfee, hadden een beloning uitgeschreven van in totaal 350.000 dollar, die nu met veel vuur wordt aangevochten.

De Bitfi crypto-wallet is een mobiel toestel dat volgens het bedrijf zelf ‘onhackbaar’ is. Het slaagde er zelfs in de goedkeuring te krijgen van Bekende Securitymens John McAfee, de man die ooit McAfee oprichtte en ondertussen vooral in het nieuws komt met stunts. Zijn meest recente stunt was om een bounty uit te schrijven voor wie als eerste die onhackbare Bitfi kon, euh, hacken. Na ongeveer een week lijkt dat ook gelukt, al is de discussie ondertussen vervallen in een welles-nietes spelletje.

Onhackbaar…

De Bitfi wallet is een toestel van zo’n 120 dollar dat je op het wifi-netwerk hangt, en dat cryptomunten bijhoudt, versleuteld met een wachtwoord. Met dat wachtwoord wordt voor enkele milliseconden een private sleutel gegenereerd om de data te ontsleutelen. Bedoeling is een veilige omgeving te creëren voor het opslaan van cryptomunten en andere digitale goederen.

Volgens Bitfi zelf is dit het ‘meest gesofisticeerde instrument ter wereld’, en in volle marketingcampagne kreeg het toestel de ondersteuning van John McAfee, die een beloning van 100.000 dollar uitschreef voor wie het ding kon hacken. Die werd later door Bitfi zelf verhoogd tot 350.000 dollar.

Het was alvast genoeg om enkele onderzoekers aan het werk te zetten. De eerste vege tekenen daagden enkele dagen geleden al op. Eens geopend, blijkt het toestel bijvoorbeeld een goedkope Android telefoon te zijn met enkele componenten minder (onder meer de chip om mobiel te bellen is weg), maar wel met de Baidu bloatware en de Adups malware er nog op. Onderzoekers slaagden er onder meer in het toestel te ‘rooten’, en de opstartprocedure van de Mediatek chip aan boord te kapen om het volledige systeem bloot te leggen.

Wat wel bleek uit het onderzoek, en wat ook een veilig en goed idee is, is dat het toestel zelf niets opslaat. Het cryptogeld blijft opgeslagen op de online exchange, en Bitfi zorgt alleen voor de toegang tot dat platform. Bitfi doet de hacks die al gebeurd zijn dan ook af als irrelevant, omdat ze het wachtwoord niet kunnen ontfutselen.

Afhankelijk van je definitie van ‘onhackbaar’

Een en ander is onvermijdelijk ontaard in een Twitter-ruzie tussen het onderzoekerscollectief, en Bitfi en McAfee. De bounty van 350.000 dollar is alvast bijzonder specifiek. De onderzoeker moet een Bitfi toestel krijgen met 50 dollar aan cryptogeld, en een ongekend wachtwoord, en moet dat geld er af krijgen. Dat klinkt redelijk, en zou inderdaad onmogelijk moeten zijn, gezien zowel het geld als het wachtwoord niet op het toestel opgeslagen worden.

De onderzoekers menen echter dat die ene methode niet de enige manier is om aan het geld van een echt slachtoffer te komen. “De enige manier om de bounty te winnen is om een sleutel te halen van een toestel dat geen sleutel opslaat. Maar er zijn veel meer aanvallen waar zo’n toestel kwetsbaar voor kan zijn,” schrijft Infosec onderzoeker Andrew Tierney . “De meest voor-de-hand-liggende is om het toestel aan te passen zodat het de sleutel opneemt en doorstuurt naar een derde partij. Maar die methode wordt niet ondersteund door de bounty. Waarom niet? Omdat de bounty een voorwendsel is.”

De onderzoekers merken op dat er bijvoorbeeld geen maatregelen genomen zijn om duidelijk te maken wanneer iemand het omhulsel geopend heeft om met de hardware te knoeien, voordat het bij het slachtoffer terecht komt. Mogelijke scenario’s zijn zo dat iemand software installeert die registreert welk wachtwoord het slachtoffer op het aanraakscherm intikt. Of via een backdoor meekijkt wanneer het slachtoffer zijn wallet aanspreekt, allemaal voordat het toestel bij de klant terecht komt.

John McAfee heeft ondertussen aangekondigd dat hij een video zal vrijgeven die alle aantijgingen zal weerleggen. Wordt ongetwijfeld vervolgd.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content