Solana Labs đã bác bỏ một video gần đây của CertiK, tuyên bố rằng công ty bảo mật blockchain đã đưa ra một số tuyên bố không chính xác về lỗ hổng bảo mật tiềm ẩn trong điện thoại Saga của Solana.
Saga là điện thoại Android hỗ trợ tiền mã hóa của Solana và được phát hành vào tháng 4. Điện thoại được thiết kế để ghép nối Web3 với điện thoại thông minh.
Video CertiK
CertiK, trong một bài đăng trên X (trước đây là Twitter) vào ngày 15 tháng 11, tuyên bố rằng điện thoại Saga chứa một lỗ hổng nghiêm trọng được gọi là lỗ hổng "mở khóa bộ nạp khởi động". Lỗ hổng này có thể cung cấp cho những kẻ tấn công một lối vào cửa hậu vào điện thoại và xâm phạm phần mềm ban đầu chịu trách nhiệm khởi động thiết bị. CertiK cũng tuyên bố rằng lỗ hổng bộ nạp khởi động sẽ cho phép bất kỳ kẻ tấn công nào có quyền truy cập vật lý vào điện thoại để tải chương trình cơ sở tùy chỉnh có chứa cửa hậu gốc. CertiK tuyên bố,
"Chúng tôi chứng minh rằng điều này có thể làm tổn hại đến dữ liệu nhạy cảm nhất được lưu trữ trên điện thoại, bao gồm cả khóa riêng tư tiền mã hóa. Bootloader đã bị mở khóa, và tính toàn vẹn phần mềm không còn được đảm bảo. Mọi dữ liệu được lưu trên thiết bị có thể bị kẻ tấn công truy cập. Không nên lưu trữ bất kỳ dữ liệu nhạy cảm nào trên thiết bị."
Thông điệp từ CertiK cho biết điện thoại có thể bị tấn công. Tuy nhiên, vẫn chưa rõ liệu lỗ hổng này có chỉ riêng ở điện thoại Saga hay có thể ảnh hưởng đến các thiết bị Android khác.
Solana gọi các tuyên bố của CertiK là sai lệch
Tuy nhiên, Solana đã bác bỏ các lo ngại của CertiK về bất kỳ lỗ hổng tiềm tàng nào trong điện thoại Saga. Kỹ sư phần mềm chính của bộ phận di động tại Solana Labs, Steven Laver, cho biết video của CertiK không tiết lộ bất kỳ lỗ hổng bảo mật nào đã biết hay mối đe dọa an ninh nào đối với người dùng Saga. Thay vào đó, video chỉ minh họa hành động người dùng mở khóa bootloader, điều mà Laver cho rằng có thể thực hiện được trên bất kỳ thiết bị Android nào.
"Video của CertiK không tiết lộ bất kỳ lỗ hổng bảo mật nào đã biết hay mối đe dọa an ninh nào đối với người sở hữu Saga. Video cho thấy người dùng mở khóa bootloader, điều mà có thể thực hiện được trên nhiều thiết bị Android."
Tài liệu dự án mã nguồn mở nội bộ của Android cũng cho thấy việc mở khóa bootloader là hành động có thể thực hiện trên nhiều thiết bị Android. Laver tiếp tục bổ sung,
"Việc mở khóa bootloader là một tính năng nâng cao của Saga và được vô hiệu hóa mặc định. Chúng tôi tin vào việc trao quyền cho người dùng quyết định cách sử dụng điện thoại của họ. Tuy nhiên, việc mở khóa bootloader không phải là một lỗ hổng bảo mật – người dùng phải chủ động cho phép những thay đổi này được thực hiện trên thiết bị, và những thay đổi đó chỉ có thể được thực hiện bởi người dùng được ủy quyền của điện thoại."
Tuy nhiên, nếu người dùng hoặc kẻ tấn công tiếp tục mở khóa bootloader, họ không chỉ phải vượt qua nhiều cảnh báo mà thiết bị của họ còn bị xóa dữ liệu, cùng với các khóa riêng tư. Laver cho biết quá trình này không thể thực hiện mà không có sự nhận thức hay tham gia chủ động từ người dùng. Video sau đó đã minh họa cách kẻ tấn công có thể rút BTC từ ví gắn với điện thoại. Tuy nhiên, video không hiển thị Seed Vault. Seed Vault bảo vệ các tài sản kỹ thuật số được hỗ trợ và các khóa gốc.
Seed Vault được công bố năm 2022 và có thể truy cập môi trường bảo mật cấp cao nhất có sẵn trên thiết bị. Điều này bao gồm các chế độ hoạt động bảo mật của bộ xử lý và các Bộ phận Bảo mật chuyên dụng, đảm bảo trải nghiệm ký giao dịch an toàn thông qua các thành phần giao diện người dùng được tích hợp sẵn trong Android.
Điện thoại Saga
Saga được ra mắt vào tháng 4 và được thiết kế để kết nối hệ sinh thái Web3 với điện thoại thông minh. Ngoài các cửa hàng ứng dụng truyền thống, Solana cũng cung cấp một cửa hàng ứng dụng riêng biệt. Điện thoại cho phép người dùng tự quản lý tài sản của mình và giữ chúng bên mình mọi lúc mọi nơi. Vài tháng sau khi ra mắt, Solana đã giảm giá Saga xuống 40%, từ 1000 USD xuống còn 599 USD.
Vào thời điểm đó, người đứng đầu hoạt động kinh doanh của Solana Mobile, Emmett Hollyer, cho biết việc giảm giá là một chiến lược phổ biến trong ngành điện tử tiêu dùng, đặc biệt là đối với điện thoại thông minh.
Cảnh báo: Bài viết này được cung cấp chỉ nhằm mục đích cung cấp thông tin. Nó không được cung cấp hoặc nhằm mục đích sử dụng như lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc các lời khuyên khác.