هشدار: نرم‌افزار پیش‌بینی متن گوشی‌های هوشمند، عبارت بازیابی کیف پول کاربران را ذخیره می‌کند.

یک کارشناس فناوری اطلاعاتی اخیراً درباره نقض امنیتی تلفن‌های هوشمند هشدار داده است که باعث می‌شود هکرها به‌راحتی به کیف پول کاربران دسترسی داشته باشند و بتوانند دارایی‌های آنها را منتقل کنند. این مشکل امنیتی در اکثر تلفن‌های همراه وجود دارد و کاربرانی که از موبایل برای دسترسی به کیف پول‌شان استفاده می‌کنند، باید کاملاً مراقب باشند.

به گزارش کوین تلگراف، عبارت بازیابی (Seed Phrases)، ترکیبی تصادفی از فهرست ۲٬۰۴۸ کلمه‌ای استاندارد «BIP-39» یا پروتکل بهبود بیت کوین هستند که به‌عنوان اولین لایه امنیتی در برابر دسترسی‌های غیرمجاز به دارایی‌های دیجیتال کاربران عمل می‌کنند. با این حال، اگر وقتی قصد دارید سراغ دارایی‌های‌تان بروید، الگوریتم پیش‌بینی متن کیبورد هنگام تایپ‌کردن در تلفن همراه عبارات کلیدی کیف پول‌تان را به شما نمایش دهد، چه عکس‌العملی خواهید داشت؟

آندره (Andre)، متخصص فناوری اطلاعات ۳۳ ساله آلمانی، اخیراً پس از اینکه متوجه شد تلفن همراه او به‌محض تایپ‌کردن اولین کلمه می‌تواند کل کلمات عبارت بازیابی کیف پولش را پیش‌بینی کند، در انجمن «r/CryptoCurrency» شبکه اجتماعی ردیت (Reddit) پستی منتشر کرد.

آندره در پست خود به‌عنوان یک هشدار دوستانه به کاربران ردیت و علاقه‌مندان ارزهای دیجیتال گفته است که هکرها به‌راحتی می‌توانند از این ویژگی استفاده و تنها با تایپ اولین کلمه از فهرست استاندارد BIP-39، دارایی‌های کاربران را سرقت کنند.

او در پست خود نوشته است:

این موضوع کار هکرها را آسان می‌کند و آنها تنها با حمله به گوشی و بازکردن هر برنامه‌ای که بتوان در آن چَت کرد و تایپ یک کلمه تصادفی از فهرست BIP-39، می‌توانند ببینند که تلفن هوشمند چه کلمه‌ای بعد از آن پیشنهاد می‌کند.

آندره که در ردیت با نام کاربری «u/Divinux» شناخته می‌شود، گفته است وقتی برای اولین بار متوجه شد تلفن او می‌تواند عبارت بازیابی ۱۲ الی ۲۴ کلمه‌ای را به‌درستی حدس بزند، کاملاً شوکه شد.

او افزود:

در ابتدا، مات‌ومبهوت مانده بودم. فکر می‌کردم حدس دو کلمه اول [عبارت بازیابی] ممکن است تصادفی باشد.

این سرمایه‌گذار آلمانی ارزهای دیجیتال به‌عنوان فردی با دانش کافی از فناوری، موفق شد روش‌هایی را که تلفن همراه او می‌توانست از طریق آنها پیش‌بینی درستی از کلمات عبارت بازیابی داشته باشد، آزمایش کند. او در ادامه افزود که پس از پی‌بردن به تأثیر احتمالی درز این اطلاعات به بیرون و استفاده افراد نامناسب از آن، «تصمیم گرفتم که باید درباره آن به مردم اطلاع‌رسانی کنم. مطمئنم افراد دیگری هم مانند من هستند که عبارت بازیابی خود را قبلاً در گوشی تایپ کرده‌اند».

آزمایش‌های آندره نشان داد که صفحه‌کلید گوگل (GBoard)، کمترین آسیب‌پذیری را دارد؛ زیرا این نرم‌افزار قادر نبود همه کلمات را به‌ترتیب و درست پیش‌بینی کند. با این حال، صفحه‌کلید سوویفت‌کی (Swiftkey) شرکت مایکروسافت قادر به پیش‌بینی صحیح همه کلمات عبارت بازیابی بود. صفحه‌کلید سامسونگ نیز در صورتی می‌توانست کلمات را پیش‌بینی کند که گزینه جایگزینی خودکار (Auto Replace) و پیشنهاد تصحیح متن (Suggest Text Corrections) در بخش تنظیمات به‌صورت دستی روشن شده باشد.

شروع فعالیت آندره در حوزه ارزهای دیجیتال به سال ۲۰۱۵ بر می‌گردد. او کمی بعد علاقه خود را به این حوزه از دست داد تا بعدها که متوجه شد می‌تواند کالاها و خدمات مختلف را با استفاده از بیت کوین و سایر توکن‌ها خریداری کند. استراتژی سرمایه‌گذاری آندره شامل خرید و سهام‌گذاری بیت کوین و آلت کوین‌هایی مانند لونا، الگورند و تزوس است. آندره زمانی که این آلت کوین‌ها رشد می‌کنند، از درآمد حاصل از سرمایه‌گذاری خود و با روش میانگین‌سازی هزینه دلاری (DCA) بیت کوین می‌خرد. این متخصص فناوری اطلاعات همچنین به‌عنوان یک سرگرمی، توکن‌ها و ارزهای دیجیتال اختصاصی برای خود توسعه می‌دهد.

به گفته آندره، یکی از اقدامات امنیتی که می‌توان در مقابل هک‌های احتمالی انجام داد، ذخیره‌کردن سرمایه‌های باارزش و بلندمدت در کیف پول‌های سخت‌افزاری است.

او به کاربران ردیت در سراسر جهان توصیه کرده است:

بدون داشتن کلید خصوصی، دارایی‌های‌تان هم برای شما نیست. خودتان برای سرمایه‌گذاری تحقیق کنید. دچار فومو (FOMO) نشوید. هرگز بیشتر از چیزی که می‌توانید از دست بدهید، سرمایه‌گذاری نکنید. همیشه آدرسی را که به آن توکن ارسال می‌کنید، دو مرتبه بررسی کنید. قبل از انتقال مبالغ سنگین‌تر، اول برای آزمایش مقدار کمی توکن به آدرس موردنظر ارسال کنید. پیش‌بینی متن را از قسمت تنظیمات تلفن همراه خود غیرفعال کنید. در نهایت، لطفی به خودتان بکنید و با پاک‌کردن کش (Cache) بخش پیش‌بینی متن تلفن همراه‌تان از این اتفاقات جلوگیری کنید.

شرکت امنیت بلاک چین پک‌شیلد (PeckShield) نیز اخیراً به جامعه ارزهای دیجیتال درباره تعداد زیادی از وب‌سایت‌های فیشینگ که کاربران پروژه استپن (STEPN) را موردهدف قرار داده‌اند، هشدار داده است.

پک‌شیلد چند نمونه افزونه‌ جعلی کیف پول متامسک برای مرورگرهای اینترنتی کشف کرده است که هکرها می‌توانند از طریق آن عبارت بازیابی کاربران استپن را بدزدند. درواقع دسترسی هکرها به عبارت بازیابی کیف پول کاربران، کنترل کامل آنها بر دارایی‌های دیجیتال قربانیان‌شان را تضمین می‌کند.