Postingan Ledger Mengungkap Kelemahan Android yang Menargetkan Frasa Seed Kripto pertama kali muncul di Coinpedia Fintech News
Tim peneliti Donjon dari Ledger telah mengidentifikasi kerentanan keamanan pada prosesor MediaTek (yang umum digunakan pada ponsel Android) yang memungkinkan pelaku jahat mencuri PIN ponsel pengguna dan frasa seed kripto mereka dalam hitungan detik. Serangan ini dikatakan terjadi bahkan ketika perangkat dalam keadaan mati.
Tim tersebut melakukan uji proof-of-concept, di mana mereka berhasil memperoleh informasi sensitif yang berkaitan dengan beberapa dompet kripto perangkat lunak (alias hot wallet). Korban termasuk Trust Wallet, Kraken Wallet, dan Phantom.
Pencurian kripto pada OS Android
Charles Guillemet, Chief Technology Officer di perusahaan dompet perangkat keras Ledger, mencatat perkembangan ini sebagai "pengingat bahwa smartphone tidak dibangun untuk keamanan."
Guillemet menambahkan bahwa ini dapat memengaruhi "jutaan" ponsel Android, karena mereka mendominasi penggunaan global karena faktor ekonomi dan ketersediaan.
Menyusul laporan tersebut, MediaTek mengambil tindakan untuk memperbaiki bug, sementara Trust Wallet memperkenalkan fitur keamanan baru yang mencegah manipulasi alamat kripto.
Metode penyimpanan mana yang aman?
Dompet perangkat keras/cold wallet, seperti Ledger dan Trezor, telah mendapat reputasi untuk memberikan keamanan yang lebih baik untuk cryptocurrency dibandingkan dengan dompet perangkat lunak. Ini karena mereka menggunakan chip yang terpisah dari prosesor utama ponsel.
Meski demikian, dengan penggunaan global 78%, hot wallet adalah pilihan dominan di kalangan pemegang kripto karena efisiensi biaya dan kemudahan penggunaannya.
Bahkan begitu, pengguna cold storage telah menjadi korban pencurian kripto melalui rekayasa sosial, manipulasi rantai pasokan, ekstraksi perangkat fisik, dan kecerobohan yang mencolok.
Contoh yang baik dari yang terakhir adalah Layanan Pajak Korea Selatan, yang secara tidak sengaja memposting frasa seed ke dompet keras kripto yang disita. Contoh serangan brute force atau wrench adalah kasus pasangan Prancis baru-baru ini yang dirampok hampir $1 juta dalam Bitcoin.
Adapun sistem operasi, pengguna iOS belum sepenuhnya terhindar, dengan kerentanan Coruna menambang informasi cryptocurrency sensitif pada versi iOS yang lebih lama.
Kunci pengguna masih dapat dicuri saat menjalankan node, jadi mungkin dompet multisig adalah salah satu metode paling "tahan api" untuk menyimpan cryptocurrency.
Sumber: https://coinpedia.org/news/ledger-reveals-android-flaw-targeting-crypto-seed-phrases/
