Wieder geknackt: John McAfees "unhackbares" Bitcoin-Wallet hat Löcher

Die von John McAfee unterstützten Entwickler des Bitcoin-Wallet Bitfi bewerben ihr Produkt vollmundig mit dem Attribut "unhackbar". Geht es nach Sicherheitsforschern, sollte man diese Behauptung wohl besser schleunigst zurückziehen: Diese konnten eigentlich geheime Passphrasen auslesen - und das nicht zum ersten Mal.

Das "unhackbare" Bitcoin-Wallet schlägt in Sachen Sicherheit leck

Es ist nicht ungewöhnlich, dass in der Werbung auch manchmal Behauptungen aufgestellt werden, die nicht ganz der Wahrheit entsprechen. Geht es nach Untersuchungen der beiden Sicherheitsforscher Ryan Castellucci und Saleem Rashid, will man erneut beweisen können, dass das auf Android basierende Bitcoin-Wallet Bitfi entgegen den Aussagen der Entwickler alles andere als "unhackbar" ist. Infografik: Die Kryptocoin-Technologie Blockchain kurz erklärt In einem kurzen Video legen die beiden Sicherheitsforscher dar, wie ein Exploit dazu genutzt werden kann, eigentlich geheime Passphrasen inklusive Salt-Wert aus dem RAM eines offenbar gerooteten Geräts auszulesen. Der Prozess kann laut Castellucci und Rashid in weniger als zwei Minuten abgeschlossen werden. Wie heise in seinem Bericht schreibt, kann das Gerät nach dem Auslesen von Passphrase und dem Salt-Wert als übernommen angesehen werden.

Die Erkenntnisse der Sicherheitsforscher widersprechen dabei Aussagen, die die Bitfi-Hersteller noch jüngst in einem Interview getätigt hatten. Demnach solle ein Algorithmus beim ersten Start basierend auf der vom Nutzer vergebenen Passphrase einen privaten Schlüssel generieren. Dieser werde anschließend gelöscht und verbleibe so nur für einen kurzen Moment im Speicher. Die Ergebnisse der Forscher sprechen allerdings dafür, dass dies offensichtlich länger der Fall ist.

Bounty nicht ausbezahlt

Wie der Hersteller in einem aktuellen Statement verkündet, kann man die Schwachstelle bestätigen, man werde den Vorfall jetzt weiter untersuchen. Mit dem Begriff "unhackbar" will man in Zukunft nicht mehr werben. Danach folgt die Ankündigung, dass man das aktuelle Bug-Bounty-Programm eingestellt hat, bei dem der Entwickler offiziell bis zu 250.000 US-Dollar ausgeschrieben hatte. Die Sicherheitsforscher, die den Dienst bisher gehackt hatten, haben hier keine Auszahlung erhalten - offenbar, weil vom Hersteller gesetzte Kriterien nicht erfüllt wurden.