Une faille de sécurité a été révélée dans la version Web du Toujours surfer portefeuille qui, s’il est militarisé avec succès, pourrait permettre à un attaquant de prendre le contrôle total du portefeuille d’une victime.
« En exploitant la vulnérabilité, il est possible de déchiffrer les clés privées et les phrases de départ qui sont stockées dans le stockage local du navigateur », a déclaré la société israélienne de cybersécurité Check Point dans un rapport partagé avec The Hacker News. « En d’autres termes, les attaquants pourraient prendre le contrôle total des portefeuilles de la victime. »
Toujours surfer est un portefeuille de crypto-monnaie pour la blockchain Everscale (anciennement FreeTON) qui se double également d’un messager multiplateforme et permet aux utilisateurs d’accéder à des applications décentralisées ainsi que d’envoyer et de recevoir des jetons non fongibles (NFT). On dit qu’il a un estimé 669 700 comptes à travers le monde.
Au moyen de différents vecteurs d’attaque comme des extensions de navigateur malveillantes ou des liens de phishing, la faille permet d’obtenir les clés cryptées et les phrases de départ d’un portefeuille qui sont stockées dans le stockage local du navigateur, qui peuvent ensuite être brutalement forcées pour siphonner des fonds.
Étant donné que les informations contenues dans le stockage local ne sont pas cryptées, elles pourraient être accessibles par des modules complémentaires de navigateur malveillants ou des logiciels malveillants voleurs d’informations capables de collecter ces données à partir de différents navigateurs Web.
Suite à une divulgation responsable, une nouvelle application de bureau a été publiée pour remplacer la version Web vulnérable, cette dernière étant désormais marquée comme obsolète et utilisée uniquement à des fins de développement.
« Avoir les clés signifie un contrôle total sur le portefeuille de la victime, et donc sur les fonds », a déclaré Alexander Chailytko de Check Point. « Lorsque vous travaillez avec des crypto-monnaies, vous devez toujours être prudent, vous assurer que votre appareil est exempt de logiciels malveillants, ne pas ouvrir de liens suspects, maintenir à jour le système d’exploitation et les logiciels antivirus. »
« Malgré le fait que la vulnérabilité que nous avons trouvée a été corrigée dans la nouvelle version de bureau du portefeuille Ever Surf, les utilisateurs peuvent rencontrer d’autres menaces telles que des vulnérabilités dans les applications décentralisées ou des menaces générales comme la fraude, [and] Hameçonnage. »