В смартфоне от Solana нашли критическую уязвимость

Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя.  Ever wondered about the security of your Web3 devices? Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy— CertiK (@CertiK) November 15, 2023 Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы.

Смартфон отобразил предупреждение о том, что с этого момента "целостность программного обеспечения не может быть гарантирована". "Любые данные, хранящиеся на устройстве, могут быть доступны злоумышленникам", — сказано в сообщении. После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке.

Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька. Дополнительных комментариев по проблеме в CertiK не предоставили. Впервые Solana Labs представила Saga в июне 2022 года.

В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек. Напомним, продажи Saga стартовали 8 мая 2023 года.