(Bild: WorldSpectrum)

Zum wiederholten Male haben Sicherheitsforscher eigentlich geheime Passphrasen aus dem Bitcoin-Wallet Bitfi ausgelesen.

Dem Hersteller zufolge ist das auf Android basierende Bitcoin-Wallet Bitfi "unhackbar". Dass das nicht stimmt, haben Sicherheitsforscher nun erneut bewiesen. Dieses Mal konnten sie mit vergleichsweise wenig Aufwand Infos auslesen, mit denen sie letztlich alle Coins abziehen könnten.

Bei dem Angriff handelt es sich um eine sogenannte Cold-Boot-Attacke. Mit ihrem Exploit haben die beiden Sicherheitsforscher Ryan Castellucci und Saleem Rashid die eigentliche geheime Passphrase inklusive Salt-Wert auf einem offenbar gerooteten Gerät aus dem RAM ausgelesen. Das Ganze dauert weniger als zwei Minuten, wie die Sicherheitsforscher in einem Video demonstrieren. Mit der Passphrase und dem Salt-Wert ausgestattet, gilt das Gerät als übernommen.

Der Hersteller von Bitfi versicherte noch jüngst in einem Interview, dass ein Algorithmus nach der Erstinbetriebnahme den privaten Schlüssel basierend auf der vom Nutzer vergebenen Passpharase generiert und den Schlüssel anschließend löscht. Er verbleibe anschließend nur für einen kurzen Moment im Speicher. Offensichtlich ist das länger der Fall.

"Unhackable"-Claim soll verschwinden

Mittlerweile hat der von John McAfee unterstützte Bitfi-Hersteller die Schwachstelle bestätigt und in einem Statement verkündet, dass er den Vorfall weiter untersucht. Darin gibt er auch bekannt, dass er sein bisheriges Bug-Bounty-Programm eingestellt hat.

Trotz mittlerweile zwei erfolgreicher Hacks hat kein Sicherheitsforscher die ausgeschriebene Summe von 250.000 US-Dollar bekommen, da die vom Hersteller gesetzten Kriterien offenbar nicht erfüllt wurden. In Zukunft will er auf der Hackerone-Plattform ein Bug-Bounty-Programm laufen lassen. Außerdem will der Hersteller nicht mehr mit dem Begriff "Unhackbar" werben. Derzeit prangt er aber noch auf der offiziellen Webseite. Dieses unhaltbare Versprechen rief schon früh Hacker auf den Plan und ein 15-Jähriger spielte bereits Doom auf dem Gerät.

Doom auf der "unhackbaren" Hardware-Wallet.

Vergangenen Monat hat der Hersteller einen Pwnie-Award für den unverantwortlichen Umgang mit den gefundenen Schwachstellen im Gerät verliehen bekommen. Dabei handelt es sich um die Goldene Himbeere für Hard- und Softwarehersteller. (des)