Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя.
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы.
Смартфон отобразил предупреждение о том, что с этого момента «целостность программного обеспечения не может быть гарантирована».
«Любые данные, хранящиеся на устройстве, могут быть доступны злоумышленникам», — сказано в сообщении.
После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька.
Дополнительных комментариев по проблеме в CertiK не предоставили.
Впервые Solana Labs представила Saga в июне 2022 года. В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек.
Напомним, продажи Saga стартовали 8 мая 2023 года.
