CertiK заявляет об уязвимости телефонов Saga, но Solana это опровергает

В недавнем видео компании CertiK, занимающейся блокчейн-безопасностью, содержится серия «неточных» заявлений о потенциальной уязвимости безопасности в телефоне Solana Saga с поддержкой шифрования, сообщает Solana Labs.

В сообщении от 15 ноября, CertiK заявил, что телефон Saga содержит критическую уязвимость, известную как атака разблокировки загрузчика, которая предположительно позволит злоумышленнику установить в телефоне скрытый бэкдор.

Ever wondered about the security of your Web3 devices?

Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023

В отчете, CertiK заявил, что разблокировка загрузчика позволит злоумышленнику, имеющему физический доступ к телефону, загружать специальную прошивку, содержащую корневой бэкдор.

«Мы демонстрируем, что это может поставить под угрозу наиболее конфиденциальные данные, хранящиеся на телефоне, включая закрытые ключи», — говорится в отчете CertiK.

Однако представитель Solana Labs сообщил, что утверждения CertiK неточны, а видео не выявило какой-либо законной угрозы для устройства Saga.

«Видео CertiK не раскрывает каких-либо известных уязвимостей или угроз безопасности для владельцев Saga».

Внутренняя документация проекта Android с открытым исходным кодом показывает, что разблокировку загрузчика можно выполнить на широком спектре устройств Android.

В Solana Labs заявили, что для разблокировки загрузчика и установки специальной прошивки злоумышленнику придется пройти несколько шагов, которые можно выполнить только после разблокировки устройства с помощью пароля или отпечатка пальца пользователя.

«При разблокировке загрузчика стираются данные на устройстве, о чем пользователи предупреждаются несколько раз при разблокировке загрузчика, поэтому этот процесс не может происходить без активного участия или ведома пользователей», — заявили в Solana Labs.

Кроме того, если кто-то продолжит разблокировать загрузчик на устройстве Android, он получит ряд предупреждений о последствиях этого процесса.

Если они проигнорируют эти предупреждения, данные будут удалены вместе с их личными ключами.

Телефон Solana Saga был выпущен в апреле 2022 года по цене $1099. В телефоне имеется магазин dApps на основе Web3 с целью интеграции криптоприложений в технологическое оборудование.

In April, we introduced Saga with a clear vision: to put web3 at your fingertips. We continue to work to bring more people into the ecosystem and drive web3’s mobile future. Today, we are reducing the price of Saga to $599.

Over the past four months, Saga users embraced the… pic.twitter.com/qpC1BHiqZ7
— Solana Mobile 🌱 (@solanamobile) August 9, 2023