Smartphone da Solana é vulnerável a exploração crítica, revela Certik

Share

solana-tem-vulnerabilidade

O smartphone de Solana, o Saga, é vulnerável a um ataque que pode colocar quaisquer criptomoedas armazenadas nele “em risco extremo”, de acordo com um comunicado enviado por e-mail pela empresa de segurança blockchain Certik. A Solana Labs, por trás da blockchain e do celular, nega essas alegações, chamando-as de “imprecisas”.

Conforme alertou a Certik, a vulnerabilidade em questão permite que um invasor com acesso físico ao telefone carregue um firmware personalizado contendo um backdoor root. Dessa forma, a exploração poderia “comprometer os dados mais confidenciais armazenados no telefone, incluindo chaves privadas de criptomoeda”.

O telefone celular Saga de Solana chegou ao mercado em abril deste ano. Trata-se de um dispositivo Android comercializado como “construído especificamente para criptografia”. Segundo a Solana Labs, o Saga tem foco em segurança e permite que os usuários conectem as suas carteiras Web3 ou criem um novo cofre integrado ao telefone.

Além disso, o dispositivo possui um ambiente de execução seguro da Qualcomm e um processador de elemento seguro embutido. Isso garante, segundo a Solana, a segurança das chaves privadas dos usuários, de acordo com a empresa.

Contudo, segundo a Certik, essas ferramentas não são suficientes para garantir a segurança dos ativos digitais no celular.

Solana Labs nega falta de segurança

A Solana, como mencionado, nega as alegações. Em nota, um porta-voz do Solana Labs disse que a CertiK não revelou uma ameaça à segurança dos titulares do Saga.

“Desbloquear o bootloader é um recurso avançado do Saga e está desabilitado por padrão”, disse Solana Labs em comunicado. “Desbloquear o bootloader não é uma vulnerabilidade de segurança – um usuário deve permitir explicitamente que tais alterações sejam feitas em seu dispositivo, e essas alterações só podem ser feitas por um usuário autorizado do telefone.”

A Solana Labs explicou ainda que o desbloqueio do bootloader exige que o usuário execute várias etapas. Mas isso precisa de uma autenticação prévia. Além disso, esse desbloqueio apaga o dispositivo e o celular emite vários alertas sobre isso, segundo a Solana Labs.

De qualquer forma, a Certik recomenda que os telefones Saga considerem impor mais restrições ao recurso de desbloqueio do bootloader. Afinal, isso pode expor quaisquer dados de texto simples armazenados no dispositivo, incluindo chaves privadas.

A Certik também disse que a carteira do telefone depende apenas do sistema operacional do dispositivo para segurança. Mas a Solana Labs disse que esse não é o caso, já que o Seed Vault, um sistema de custódia embutido no telefone, aumenta a segurança das frases-semente de um usuário e dos ativos digitais suportados.

“Os usuários do Saga são sempre incentivados a habilitar as carteiras Seed Vault para proteger seus ativos digitais”, disse Solana Labs.

.

  • 16 de Novembro, 2023