Używasz portfela Jaxx? Uważaj!

Jaxx to dość znany portfel kryptowalutowy, a jego główną zaletą jest obsługa wielu popularnych walut. Poza tym dostępny jest na wszystkie ważniejsze systemy operacyjne, a nawet jako rozszerzenie do przeglądarki Chrome. Niestety pewność działania i stabilność tego portfela pozostawiały nieco do życzenia. Co gorsza 10 czerwca znaleziono w Jaxxie poważną lukę bezpieczeństwa, która może się okazać gwoździem do trumny tego programu.

 

 

Jaxx to dość znany portfel kryptowalutowy, a jego główną zaletą jest obsługa wielu popularnych walut. Poza tym dostępny jest na wszystkie ważniejsze systemy operacyjne, a nawet jako rozszerzenie do przeglądarki Chrome. Niestety pewność działania i stabilność tego portfela pozostawiały nieco do życzenia. Co gorsza 10 czerwca znaleziono w Jaxxie poważną lukę bezpieczeństwa, która może się okazać gwoździem do trumny tego programu.

Jak wiele nowoczesnych portfeli, również Jaxx jest tzw. portfelem HD (Hierarchically Deterministic). Klucze prywatne do wszystkich tworzonych przez portfel HD adresów mogą być wygenerowane z jednego głównego klucza (tzw. seeda), który jest zapisany jako zestaw 12 angielskich słów. Takie podejście ułatwia tworzenie kopii zapasowej. Zamiast tworzyć kopię pliku portfela, wystarczy zapisać (albo nawet zapamiętać, jeżeli ktoś jest pewien swojej pamięci) te 12 słów.

Luka w Jaxxie pozwala na szybkie i w miarę proste wykradzenie seeda z portfela. Może to nastąpić przez fizyczny dostęp do komputera, albo uzyskanie przez hakera możliwości zdalnego uruchamiania programów na maszynie ofiary. W momencie kradzieży klucza głównego Jaxx nie musi być uruchomiony. Zabezpieczenie portfela kodem PIN jest bez znaczenia. Po kilkunastu sekundach seed jest w posiadaniu włamywacza, z niego może on wygenerować wszystkie klucze prywatne do naszych adresów i ukraść wszystkie zgromadzone w portfelu środki.

Jaki błąd popełnili twórcy Jaxxa? Co prawda seed jest przechowywany na dysku w postaci zaszyfrowanej, ale niestety klucz do tego szyfru jest stały i umieszczony w kodzie programu, a więc jest publicznie znany. Wobec tego pobranie pliku bazy danych (Jaxx używa popularnej bazy SQLite), albo nawet wykonanie odpowiedniego zapytania do bazy wystarcza do przejęcia głównego klucza.

Co na to autorzy programu? W kuriozalnej wypowiedzi na Reddicie Nilang Vyas, dyrektor techniczny Jaxxa, stwierdził, że to nie jest żadna dziura, tylko „ten typ tak ma”, w związku z czym nie będzie żadnej poprawki. Vyas uważa, że Jaxx to portfel na drobne sumy, a jego zaletą jest łatwa synchronizacja między wieloma urządzeniami, w związku z tym seed nie może być zaszyfrowany zmiennym kluczem. Jego rada dla użytkowników jest dość przejrzysta: „jeżeli nie czujecie się dobrze z naszym modelem bezpieczeństwa, nie używajcie naszych produktów”.

Co prawda można tę dziurę w pewien sposób załatać umieszczając plik z seedem na zaszyfrowanym systemie plików. To chroni nas przed kradzieżą, gdy portfel nie jest uruchomiony – haker musiałby złamać szyfrowanie systemu plików. Niestety to nie działa gdy Jaxx jest włączony, system plików musi być wtedy odszyfrowany. Poza tym jest to raczej rozwiązanie dla zaawansowanych użytkowników. Wydaje się, że zabawna porada autorów Jaxxa jest w praktyce najlepsza, po prostu dla własnego bezpieczeństwa trzeba przestać go używać. Najprościej w tym przypadku będzie założyć inny portfel i przelać na niego środki.