В криптокошельке Jaxx обнаружены проблемы с безопасностью

Основатель портала Techgage, публикующего обзоры и отзывы о технологических продуктах, блогер Роб Уильямс (Rob Williams) обнаружил в криптовалютном кошельке Jaxx проблемы с безопасностью. По словам Уильямса, Jaxx обеспечивает такой же уровень безопасности, как и большинство остальных offline-кошельков. Тем не менее, это касается только мобильных пользователей, позаботившихся о безопасности своих телефонов. Для пользователей Windows, Linux и Mac дела обстоят немного по-другому.

Месяц назад Уильямс установил Jaxx на свой Windows-ПК, однако из-за бага в графическом интерфейсе был вынужден удалить его. Спустя три недели блогер решил установить кошелек снова. После повторной инсталляции, к большому удивлению Уильямса, его кошелек оказался нетронутым. «Я был уверен, что процесс деинсталляции был всеохватывающим, но, очевидно, это не так», - сообщил блогер.

При первом запуске Jaxx появляется сообщение, предлагающее выбрать кастомизированный или экспресс-путь установки. По незнанию Уильямс выбрал второй, хотя лучше выбирать первый, поскольку кастомизированный способ предполагает создание резервных копий парольной фразы (состоит из 12 слов) и установку PIN-кода.

«Если вы установили 4-символьный PIN-код, вы, конечно, более защищены, чем те, кто не установил. Однако для тех, кто знает, что делать, 4-символьный PIN-код – это детская забава. […] Опять же таки, с мобильной версией вы более защищены, если, конечно, не используете еще и десктопную версию», - сообщил Уильямс.

Парольная фраза из 12 слов на английском языке позволяет восстановить учетную запись на любом устройстве. Если она будет утеряна, получить доступ к кошельку будет невозможно. Если злоумышленник получит доступ к папке Jaxx на ПК, ему не составит труда завладеть и фразой.

Подобно большинству приложений Jaxx хранит профиль пользователя в папке %APPDATA%, находящейся в скрытой по умолчанию папке пользователя. Созданная после инсталляции кошелька папка jaxx является весьма эффективным кэшем всей информации, необходимой для доступа к учетной записи. Ее содержимое само по себе не представляет интереса для злоумышленников, поскольку только прочтение файлов ничего не дает. Однако если взять содержимое папки и перенести его в такую же папку на другом компьютере, повторная аутентификация не потребуется.

Другими словами, если кто-то получит доступ к папке с профилем пользователя Jaxx на его компьютере под управлением Windows, Linux или macOS, кошелек будет скомпрометирован. У злоумышленника будет полный доступ, и ему не составит труда получить парольную фразу. Весь процесс показан в видео ниже.

Источник