打脸太快：迈克菲BitFi钱包不到一周即破防

　　来源：cnBeta　　

　　约翰·迈克菲上周放话称，其新打造的比特币钱包 Bitfi“固若金汤”。然而打脸总是来得太快 —— 不到一周的时间，它就被安全研究人员给攻破了。昨日，来自荷兰的安全研究人员“OverSoft”发表了一长串的 Twitter 消息，声称他已经拿到了这款加密货币钱包的根访问（root access）。

　　在其中一条推文中，@OverSoftNL 表示：

　　简短更新一些有关 BitFi 的细节 —— 我们拿到了它的根访问、有一个修补后的固件、并且能够证实 BitFit 钱包依然很开心地与仪表板保持连接。

　　这彻底打了 BitFi 的脸，它根本就没任何所宣称的检查。

　　脸疼的 BitFi 方面没有立即响应，后续的一条推文似乎证实了该安全漏洞的存在，但它没有说明 OverSoft 或有其它任何人确实突破了 BitFi 的安全防线。

　　外媒 TNW 向 BitFi 方面发去询问，也没有得到答复。不过峰回路转的速度也很快，因为该公司 CEO Daniel Hkesin 似乎发出了求救信号，称‘我们需要帮助’。

　　推文写道：“亲爱的朋友，我们宣布第二个漏洞奖励，请帮助 Bitfi 寻找潜在的设备安全漏洞”。

　　我们确实需要、也非常感谢来自社区的援助。详情请戳 —— bitfi.com/bounty2 。

　　不过整件事折腾得很是搞笑，因为最早的那位破解者称，Bitfi 无意向其支付 25 万美元的漏洞赏金。

　　OverSoft 向 BitFi 连续施加了嘲讽，称对方就是借机会搞营销而已（It’s pure marketing）。

　　另外值得注意的是，OverSoft 在没有实际拥有设备的情况下，就对其发起了攻击 —— 这显然是一个大问题。

　　设备的成本就要 120 美元（而且还没算上运费），结果证明它可能完全没必要。

　　OverSoft 重申，“你根本不需要 BitFi 设备来运行 BitFi 钱包”：

　　我再说一遍 —— 该设备中没有任何 BitFi 应用运行所必须的东西。它没有任何安全元素，官方明明可以将它作为一款普通 app 在 Play 商店中发布。

　　约翰·迈克菲坚称，获得 root 权限 ≠ 构成了攻击，黑客要从钱包中提取到资金才行。

　　但根据定义，只要 OverSoft 想做，就肯定可以在拿到 root 权限后破解钱包，从而允许其运行键盘记录器、补丁、然后从事各种邪恶的事情。

　　[编译自：TNW]