Smartphone khá tốt, nhưng bạn có thể tìm thấy các cách an toàn hơn để lưu trữ coin của mình.
Với thất thoát hơn 761 triệu đô la trong các vụ trộm tiền mã hóa trong năm nay, tính bảo mật đã trở thành một chủ đề ‘hot’ trong ngành công nghiệp blockchain. Nhưng chính xác thì cách nào tốt nhất để lưu trữ các tài sản số của bạn trên các mạng phân tán? Nếu bạn hỏi Samsung, câu trả lời có thể là smartphone của bạn. Nhưng nếu bạn hỏi một loạt các chuyên gia bảo mật, mọi thứ trở nên phức tạp hơn nhiều.
Trong một bài đăng trên blog được xuất bản trên nền tảng Insights của mình vào tháng trước, Samsung đã đề xuất rằng “smartphone có tính bảo mật tốt nhất cho blockchain và tiền mã hóa”. Nghiên cứu hầu như không được chú ý. Tuy nhiên, quan điểm của họ đột nhiên được một số trang tin tức tiền mã hóa nhìn trúng vào tuần trước. Một câu hỏi được đặt ra là, trong khi nghiên cứu chắc chắn sẽ tạo ra làn sóng tiêu đề nóng hổi thì những ồn ào xoay quanh sự an toàn của smartphone có được chứng minh là hợp lý hay không? Vì vậy, chúng tôi quyết định tìm hiểu.
Chúng tôi đã hỏi ý kiến một số chuyên gia bảo mật về những tuyên bố của Samsung. Và, trong khi smartphone có thể là một giải pháp lưu trữ ngắn hạn tốt thì có rất nhiều rủi ro liên quan đến việc lưu trữ tiền mã hóa trên thiết bị cầm tay này.
Ưu tiên lưu trữ ngoại tuyến
Trong bài viết của Samsung, tác giả Joel Snyder lập luận rằng bởi vì smartphone – đặc biệt là điện thoại của Samsung – được trang bị các môi trường thực thi tin cậy (TEE), chúng đặc biệt thích hợp để lưu trữ các tài sản có blockchain.
Đối với những người không quen thuộc, TEE là một bộ phận của phần cứng trong điện thoại hoàn toàn tách biệt với bộ xử lý và hệ thống lưu trữ chính của điện thoại. Cách duy nhất để truy cập thông tin được lưu trữ trên TEE là phát triển “trustlet”, một ứng dụng nhỏ được lập trình để truy cập thông tin cụ thể lưu trữ trong TEE thông qua API chuyên dụng và được bảo mật.
“TEE là một môi trường thực hiện riêng biệt với bộ nhớ riêng và lưu trữ liên tục, hoàn toàn tách biệt với phần còn lại của thiết bị”, Snyder viết. “Hệ điều hành Android không thể tiếp cận với TEE, ngay cả khi hệ điều hành cũ hoàn toàn bị xâm phạm. Cách duy nhất để có thể kế nối với TEE là có một API tập hợp các ứng dụng nhỏ chạy trong các ‘trustlet’ TEE”.
“Với một chiếc ví được viết đúng cách sử dụng các trustlet để quản lý các khóa, vấn đề bảo mật sẽ khá chặt chẽ”. Ông tiếp tục, “Nếu những khóa riêng đó nằm trong TEE và chỉ có thể truy cập thông qua một trustlet, các phần mềm độc hại sẽ không có cách nào để trích xuất trực tiếp các khóa. Và với các nền tảng như Samsung Knox phủ thêm lớp bảo vệ bổ sung trên TEE trên các tính năng Android bình thường, các phím thậm chí còn được bảo vệ tốt hơn”.
Đó là lý do tại sao smartphone có lợi thế hơn laptop. Laptop không có TEE làm cho phần mềm ví dễ bị nhiễm phần mềm độc hại hơn.
Lỗ hổng vẫn tồn tại
Mặc dù có độ bảo mật cao đi kèm với TEE, smartphone không phải là một phương tiện miễn dịch đối với các cuộc tấn công.
“Có một TEE chắc chắn tốt hơn là không có TEE vì các khóa riêng tư được bảo vệ tốt hơn”, nhà phát triển Bitcoin Jameson Lopp giải thích trong một email gửi tới Hard Fork. “TUY NHIÊN, vẫn còn tồn tại một vài vector tấn công có thể xảy ra ở một vài nơi khác trong ngăn xếp phần mềm”.
“Phần mềm độc hại có thể ảnh hưởng đến các thành phần quan trọng khác của hoạt động ví trong khi tạo giao dịch, tạo điều kiện cho tiền được gửi tới địa chỉ của kẻ tấn công”, Lopp cho biết thêm.
Chúng tôi cũng đã hỏi giáo sư mật mã Matthew Green của trường John Hopkins về quan điểm của Samsung. “Nó thực sự phức tạp”, ông viết trong một email gửi tới Hard Fork, “những chi tiết rất quan trọng”.
“Đúng là TEE khá tuyệt trong lưu trữ tiền mã hóa”, ông nói thêm với chúng tôi. “Họ tách biệt các khóa bí mật khỏi phần còn lại của các ứng dụng và hệ điều hành của điện thoại, điều này khiến chúng ít bị tổn thương bởi phần mềm độc hại đơn giản”.
Nhưng cơ chế này đi kèm với sự cân bằng.
“Có một số cảnh báo”, Green tiếp tục. “Để hữu ích, các ứng dụng trên điện thoại phải có khả năng thực hiện các yêu cầu tới TEE, yêu cầu tương tự như ‘gửi Bitcoin cho một người cụ thể’. Vì vậy, phần mềm độc hại tinh vi có thể không trích xuất các khóa từ TEE, nhưng bằng cách thỏa hiệp một ứng dụng, họ có thể khiến TEE thanh toán bằng tiền của bạn”.
“Điều này dường như rất tệ”, giáo sư mật mã nhấn mạnh. “Và thậm chí các biện pháp đối phó rõ ràng như yêu cầu mật khẩu chỉ giúp ích một phần, vì một phần mềm độc hại đặc biệt phức tạp có thể chờ bạn nhập mật khẩu mới thực hiện giao dịch hợp pháp”.
Một vấn đề khác phát sinh khi bạn đặt niềm tin vào TEE là chúng không được tạo ra một cách cân bằng. Như Green đã chỉ ra, “chất lượng và tính bảo mật của các TEE là khác nhau” tùy thuộc vào người tạo ra chúng. Thật vậy, các nhà nghiên cứu trước đó đã phát hiện ra lỗ hổng bảo mật trong TEE được phát triển bởi những cái tên nổi tiếng như Qualcomm và TrustZone.
Nói một cách công bằng, Green nhanh chóng chỉ ra rằng, mặc dù họ không phải là “viên đạn ma thuật”, nhưng TEE thực sự làm cho công việc của hacker trở nên khó khăn hơn khá nhiều.
Một điều mà cả Green và Lopp đều nhấn mạnh là, cuối cùng, mức độ bảo mật được cung cấp bởi một thiết bị có liên quan trực tiếp đến số lượng các vector tấn công tiềm năng mà nó dễ gặp phải. Trong trường hợp smartphone, chúng hầu như luôn được kết nối với mạng di động hoặc Wi-Fi, điều này làm tăng đáng kể số lượng khai thác có thể xảy ra.
Smartphone là giải pháp tuyệt vời cho tiền mã hóa
Tạm đặt tất cả những rủi ro này sang một bên, có những lúc smartphone của bạn sẽ lý tưởng hơn để lưu trữ tiền mã hóa và các tài sản kỹ thuật số khác. Giao dịch là một trong những ví dụ này.
“Nếu bạn đang tích cực giao dịch hoặc sử dụng tiền của bạn để thanh toán, bạn cần phải có chúng trong một chương trình ví mà bạn có thể truy cập một cách nhanh chóng”, chuyên gia bảo mật F-Secure Mikko Hyppönen nói với Hard Fork. Vì mục đích đó, một chiếc ví trên smartphone hiện đại với tính năng bảo mật vật lý được kích hoạt là một lựa chọn thiết thực”.
“IPhone và các thiết bị Android có sẵn TEE là những cái tên bạn có thể ngay lập tức nghĩ tới,” anh tiếp tục. “Họ rõ ràng sẽ tốt hơn là sử dụng PC hoặc Mac”.
Tuy nhiên, Hyppönen cảnh báo rằng việc lưu trữ một lượng lớn tiền mã hóa trên smartphone của bạn có thể không phải là một quyết định thông minh. Trong những trường hợp như vậy, anh khuyên rằng nên sử dụng một chiếc ví cứng chuyên dụng như Trezor hoặc Ledger.
“Ngay cả với TEE, tôi đã từng đặt nhiều giá trị vào một ví smartphone với chữ ký duy nhất như tôi đang giữ trong rất nhiều ví khác mà tôi mang theo bên mình,” Loop nói với Hard Fork.
“Phần cứng được xây dựng tùy chỉnh như Trezor và Ledger được xây dựng với các bộ tính năng tối thiểu để giảm tổng số các vector tấn công”, ông tiếp tục. “Chúng sẽ luôn an toàn hơn bất kỳ chiếc ví nào đang chạy trên một hệ điều hành chính thức”.
Trong khi Samsung nói đúng rằng TEE khá tuyệt về tính bảo mật, sự phức tạp đi kèm cũng mở ra một loạt các cuộc tấn công mới cho smartphone – các cuộc tấn công thường không thể thực hiện trên các giải pháp ví phần cứng chuyên dụng.
Vì vậy, mặc dù nó có thể là một ý tưởng tuyệt vời nếu giữ một vài trăm đô la giá trị tiền mã hóa trên smartphone của bạn nhưng tốt hơn là bạn nên đầu tư vào một ví tiền mã hóa đơn giản cho những khoản tiết kiệm của bạn.
“Như câu châm ngôn xưa”, Lopp nói với Hard Fork, “sự phức tạp là kẻ thù của bảo mật”.
Theo TapchiBitcoin/Thenextweb
