Эксперт рассказал, почему кошелек для криптовалюты Jaxx может сильно навредить своим пользователям.
Основатель портала Techgage, публикующего обзоры и отзывы о технологических продуктах, блогер Роб Уильямс (Rob Williams) обнаружил в криптовалютном кошельке Jaxx проблемы с безопасностью. По словам Уильямса, Jaxx обеспечивает такой же уровень безопасности, как и большинство остальных offline-кошельков. Тем не менее, это касается только мобильных пользователей, позаботившихся о безопасности своих телефонов. Для пользователей Windows, Linux и Mac дела обстоят немного по-другому.
Об этом пишет Хроника.инфо со ссылкой на internetua.
Месяц назад Уильямс установил Jaxx на свой Windows-ПК, однако из-за бага в графическом интерфейсе был вынужден удалить его. Спустя три недели блогер решил установить кошелек снова. После повторной инсталляции, к большому удивлению Уильямса, его кошелек оказался нетронутым. «Я был уверен, что процесс деинсталляции был всеохватывающим, но, очевидно, это не так», — сообщил блогер.
При первом запуске Jaxx появляется сообщение, предлагающее выбрать кастомизированный или экспресс-путь установки. По незнанию Уильямс выбрал второй, хотя лучше выбирать первый, поскольку кастомизированный способ предполагает создание резервных копий парольной фразы (состоит из 12 слов) и установку PIN-кода.
«Если вы установили 4-символьный PIN-код, вы, конечно, более защищены, чем те, кто не установил. Однако для тех, кто знает, что делать, 4-символьный PIN-код – это детская забава. […] Опять же таки, с мобильной версией вы более защищены, если, конечно, не используете еще и десктопную версию», — сообщил Уильямс.
Парольная фраза из 12 слов на английском языке позволяет восстановить учетную запись на любом устройстве. Если она будет утеряна, получить доступ к кошельку будет невозможно. Если злоумышленник получит доступ к папке Jaxx на ПК, ему не составит труда завладеть и фразой.
Подобно большинству приложений Jaxx хранит профиль пользователя в папке %APPDATA%, находящейся в скрытой по умолчанию папке пользователя. Созданная после инсталляции кошелька папка jaxx является весьма эффективным кэшем всей информации, необходимой для доступа к учетной записи. Ее содержимое само по себе не представляет интереса для злоумышленников, поскольку только прочтение файлов ничего не дает. Однако если взять содержимое папки и перенести его в такую же папку на другом компьютере, повторная аутентификация не потребуется.
Читайте также: Эксперт рассказал, почему нужны постоянные консультации со странами G7
Другими словами, если кто-то получит доступ к папке с профилем пользователя Jaxx на его компьютере под управлением Windows, Linux или macOS, кошелек будет скомпрометирован. У злоумышленника будет полный доступ, и ему не составит труда получить парольную фразу. Весь процесс показан в видео ниже.
Быстрее человека: робот Unitree H1 установил новый мировой рекорд по бегу: робот Unitree H1 установил новый мировой рекорд по бегу
Мир антропоморфных роботов получил нового лидера, причем родом не из США. Китайская компания Unitree Robotics официально подтвердила, что их модель...
Read more
