zombie
> > > >
> > > >

Solana 工程師否認 Saga 手機存在資安問題的說法:並非安全漏洞

2023/11/16 12:24
Solana 工程師否認 Saga 手機存在資安問題的說法:並非安全漏洞

區塊鏈安全公司 CertiK 聲稱發現 Solana Saga 手機上的一個引導加載程序漏洞,導致這款手機能被安裝後門。但 Solana Labs 工程師否認 CertiK 的說法,澄清所謂的「漏洞」並非安全威脅。

Solana Saga 據稱存在漏洞

區塊鏈安全公司 CertiK 週三(15日)發文聲稱 Solana 推出的 Web3 智慧型手機 Saga 存在一個引導加載程序(Bootloader)漏洞,使該手機能被安裝後門,導致負責啟動該手機的初始軟體被入侵。

在 CertiK 的影片中,Solana 手機螢幕上顯示了一段訊息:

「引導加載程序(Bootloader)被解鎖,軟體完整性無法保證。這個設備上儲存的任何資料都可能被攻擊者獲取,請勿在該設備上儲存任何敏感資料。」

CertiK 表示,這則訊息顯示手機已被駭客入侵。不過,目前還不清楚這個漏洞是 Saga 獨有的,還是會影響其他 Android 裝置。

Solana 否認 CertiK 所稱的「漏洞」構成安全威脅

Solana Labs 行動端首席軟體工程師 Steven Laver 在給《Blockworks》的一封電子郵件中表示:

「CertiK 的影片沒有揭示任何已知的漏洞或對 Saga 持有者的安全威脅,影片顯示使用者正在解鎖引導加載程序,這在許多 Android 裝置上都可以做到。」

Android 開源專案中的文件概述了鎖定和解鎖引導加載程序的功能。Laver 繼續說道:

「解鎖引導加載程序是 Saga 的進階功能,預設是禁用的。我們認為用戶可以選擇如何使用他們的手機,然而,解鎖引導加載程序並不是安全漏洞,使用者必須明確允許對其裝置進行此類變更,而且這些變更只能由手機的授權使用者進行。」

不過,如果用戶或攻擊者繼續解鎖引導加載程序,那麼他們不僅會經歷多次警告,而且設備資料還會被清除,連同它們的私鑰。因此,Laver 表示「這個過程不可能在沒有用戶主動參與或知會的情況下發生」。

CertiK 的影片還展示了攻擊者如何從 Saga 手機連接的錢包中竊取比特幣,但未顯示 Seed Vault(種子庫)使用的情況,這個安全託管協議可同時保護支援的數位資產和種子(seeds)。

相關報導:《Solana 手機 Saga 開箱實測:Web3 手機與其他智慧型手機有何差異?

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

桑幣區識 Zombit

桑幣筆記 Zombit 為專業的區塊鏈財經自媒體,利用自身的金融和區塊鏈知識,提供區塊鏈相關的時事新聞、專題專欄、新手教學和趨勢週報...等,協助大眾吸收正確的資訊,並和社群朋友站在一起,互相扶持成長。

桑幣熱門榜

zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示