Il National Institute of Standards and Technology (NIST) ha pubblicato un post su una potenziale vulnerabilità nell'app Binance Trust Wallet per dispositivi iOS. Gli esperti hanno notato che potrebbe rappresentare una minaccia per i proprietari di portafogli.
La fonte che ha informato l'agenzia della vulnerabilità è l'organizzazione no-profit Mitre Corporation. Il ricorso è attualmente all'esame.
La nota afferma che l'app Binance Trust Wallet non utilizza correttamente la libreria trezor-crypto. Di conseguenza, come hanno notato gli esperti, l'unico campo dati per la generazione di frasi mnemoniche è l'ora del dispositivo.
Questo, a sua volta, crea una backdoor attraverso la quale un utente malintenzionato può creare mnemonici per ogni timestamp in un periodo specificato, associandoli a indirizzi specifici, si legge nella voce.
In particolare, alla fine di gennaio 2024, gli esperti di Milk Sad, citando SECBIT Labs, hanno pubblicato un rapporto che descrive dettagliatamente questa vulnerabilità. L'hanno anche collegata agli attacchi hacker del luglio 2023.
A causa di questo problema tecnico, l’applicazione utilizza un generatore di numeri pseudo-casuali (PRNG) “debole” con uno stato iniziale a 31 bit, hanno spiegato gli esperti. Questo rende l’hacking molto più semplice, dicono.