Solana Labs 驳斥了 CertiK 最近发布的一段视频,称该区块链安全公司对 Solana 的 Saga 手机存在潜在安全漏洞做出了几项不准确的声明。
Saga 是 Solana 的支持加密的 Android 手机,于 4 月发布。这款手机旨在将 Web3 与智能手机配对。
CertiK 视频
CertiK 于 11 月 15 日在 X(原 Twitter)上发布帖子称,Saga 手机存在一个称为“引导加载程序解锁”的严重漏洞。该漏洞可能让恶意行为者从后门进入手机,并破坏负责启动设备的初始软件。CertiK 还声称,引导加载程序漏洞将允许任何能够物理访问手机的攻击者加载包含根后门的自定义固件。CertiK 表示,
“我们证明,这可能会危及手机上存储的最敏感数据,包括加密货币私钥。引导加载程序已解锁,无法保证软件完整性。设备上存储的任何数据都可能被攻击者获取。请勿在设备上存储任何敏感数据。”
CertiK 的消息表明这款手机可能被黑客入侵。不过,目前尚不清楚该漏洞是否是 Saga 手机独有的,或者是否会影响其他 Android 设备。
Solana 称 CertiK 声明不准确
然而,Solana 驳斥了 CertiK 对 Saga 手机可能存在漏洞的担忧。Solana Labs 移动首席软件工程师 Steven Laver 表示,CertiK 视频并未向 Saga 用户透露任何已知漏洞或安全威胁。相反,该视频仅演示了用户解锁引导加载程序,Laver 表示这可以在任何 Android 设备上完成。
“CertiK 视频并未透露任何已知的漏洞或对 Saga 持有者的安全威胁。视频展示了用户解锁引导加载程序的过程,这在许多 Android 设备上都可以做到。”
Android 内部开源项目文档还显示,解锁引导加载程序是一项可以在多台 Android 设备上执行的操作。Laver 进一步补充道,
“解锁引导加载程序是 Saga 的一项高级功能,默认情况下处于禁用状态。我们认为应该让用户自行选择如何使用手机。但是,解锁引导加载程序并不是安全漏洞 - 用户必须明确允许对其设备进行此类更改,并且这些更改只能由手机的授权用户进行。”
但是,如果用户或攻击者继续解锁引导加载程序,他们不仅会收到多个警告,而且他们的设备和私钥也会被清除。Laver 补充说,如果没有用户的知情或主动参与,这个过程就无法完成。视频随后展示了攻击者如何从手机附带的钱包中窃取 BTC。然而,视频中并没有显示种子库。种子库保护支持的数字资产和种子。
Seed Vault 于 2022 年发布,可以访问设备上可用的最高特权安全环境。这包括处理器的安全操作模式和专用安全元件,这些安全元件通过 Android 内置的 UI 组件确保安全的交易签名体验。
Saga 手机
Saga 于 4 月推出,旨在将 Web3 生态系统与智能手机配对。除了传统的应用商店外,Solana 还提供单独的应用商店。这款手机允许用户自行保管资产并随身携带。推出几个月后,Solana 将 Saga 的价格下调了 40%,从 1000 美元降至 599 美元。
当时,Solana Mobile 的业务运营主管 Emmett Hollyer 表示,降价是消费电子业务的常用策略,尤其是在智能手机方面。
免责声明:本文仅供参考。本文不提供或意图用作法律、税务、投资、财务或其他建议。
