هشدار: پیشنهاد کلمه کیبورد گوشی ها می‌تواند عبارات بازیابی را لو دهد

یکی از کاربران ردیت به اسم آندره (Andre) به روشی اشاره کرده است که در آن، هکرها با استفاده از ویژگی پیش‌بینی کلمات صفحه کلید گوشی، می‌توانند به عبارت بازیابی کیف پول کاربر دسترسی پیدا کنند.

به گزارش میهن بلاک چین و به نقل از کوین تلگراف، عبارت بازیابی (seed phrase) در واقع ترکیبی تصادفی کلمات از فهرست ۲۰۴۸ کلمه‌ای BIP39 (پروتکل بیت کوین) است و به عنوان یکی از سطوح اصلی امنیت در مقابل دسترسی غیرمجاز به دارایی‌های کاربران عمل می‌کند. اما اگر ویژگی پیش‌بینی کلمات در گوشی هوشمند شما این کلمات را به خاطر بسپارد و دفعه بعد که می‌خواهید وارد کیف پول خود شوید، کلمات حاضر در عبارت بازیابی را پیشنهاد دهد چه شرایطی پیش می‌آید؟

آندره ۳۳ ساله که از متخصصان حوزه IT در آلمان است اخیرا در تاپیک رمزارز سایت ردیت پستی منتشر کرده و گفته است که پس از تایپ کردن کلمه اول عبارت بازیابی، گوشی هوشمند وی می‌تواند کل عبارت بازیابی را پیش‌بینی کند.

آندره به کاربران سایت ردیت و مشتاقان عرصه کریپتو هشدار داده که هکرها با استفاده از ویژگی پیش‌بینی کلمات در گوشی‌های هوشمند می‌توانند رمزارزهای کاربران را سرقت کنند. این روش فقط به تایپ کردن کلمه اول عبارت بازیابی نیاز دارد. او در این خصوص گفت:

این موضوع باعث می‌شود که حمله هکرها آسان شود و فقط کافی است گوشی هوشمند خود را بردارید، یکی از برنامه‌های پیام‌رسان را اجرا کرده و یکی از کلمات موجود در فهرست BIP 39 را تایپ کنید و پیشنهادات گوشی هوشمند را مشاهده کنید.

آندره که در ردیت به اسم Divinux نیز شناخته می‌شود تعحب خود از پیش‌بینی صحیح ۱۲ الی ۲۴ کلمه عبارت بازیابی را بیان کرده است. و با لحن طعنه‌آمیزی گفت:

اول متعجب و مبهوت شدم. پیش‌بینی صحیح چند کلمه اول ممکن است تصادفی باشد، اینطور نیست؟

آندره توانست بار دیگر شرایط مشابهی را ایجاد کند که در آن گوشی هوشمند وی، عبارت بازیابی را به طور دقیق پیش‌بینی کرد.

به نظرم رسید که باید این موضوع را به مردم بگویم. مطمئنم که افراد دیگری هستند که عبارت بازیابی خود را در گوشی‌های هوشمند خود تایپ کرده‌اند.

آزمایش آندره تایید کرده است که در این روش، نرم افزار کیبورد GBoard گوگل کمترین آسیب‌پذیری‌ را نشان داده است زیرا این نرم‌افزار تمام کلمات را به ترتیب صحیح پیش‌بینی نکرد. هرچند، کیبورد سویفت‌کی (Swiftkey) مایکروسافت توانست عبارت بازیابی را به طور دقیق پیش‌بینی کند. کیبورد سامسونگ نیز در صورتی که ویژگی‌های «جایگزینی خودکار» (Auto Replace) و «پیشنهاد اصلاح متن» (Suggest Text corrections) روشن باشد می‌تواند کلمات عبارت بازیابی را پیش‌بینی کند.

طبق گفته آندره، یکی از اقدامات حفظ امنیت در مقابل هک‌های احتمالی، ذخیره‌سازی دارایی‌ها در کیف پول سخت‌افزاری است. وی توصیه کرده است:

اگر کلیدهای خود را حفظ نکنید، رمزارزهای خود را از دست می‌دهید. خودتان به انجام تحقیقات درباره رمزارزها بپردازید، دچار فومو (ترس از دست دادن فرصت سرمایه‌گذاری) نشوید، هرگز بیشتر از توان مالی خود سرمایه‌گذاری نکنید، همواره آدرسی که برای آن رمزارز ارسال می‌کنید را مجددا بررسی کنید، همیشه قبل از انتقال اصلی رمزارز، ابتدا مقدار کمی ارسال کنید تا از آدرس موردنظر خود اطمینان حاصل کنید.

وی در پایان گفت:

با پاک کردن حافظه ویژگی پیش‌بینی کلمات، از وقوع این موضوع جلوگیری کنید.

همچنین شرکت امنیت بلاک چین پک‌شیلد (PeckShield) به جامعه کریپتو درباره تعداد زیادی وبسایت فیشینگ هشدار داده است که کاربران برنامه STEPN را هدف قرار می‌دهند.

طبق گزارش اخیر میهن بلاکچین، بر اساس یافته‌های پک‌شیلد، هکرها پلاگین مرورگر متامسک جعلی ساخته‌اند که از طریق آن می‌توانند عبارت بازیابی را از کاربران STEPN سرقت کنند.

دسترسی به عبارت بازیابی، کنترل کامل به رمزارز کاربران از طریق رابط کاربری STEPN را امکان‌پذیر می‌سازد.

• چگونه از کیف پول خود در برابر این خطر محافظت کنیم؟

به قسمت تنظیمات گوشی خود رفته و در بخش کیبورد کلیه گزینه‌های مرتبط با عباراتی نظیر Auto Replace، Suggest Text , Suggest Text corrections راغیرفعال کنید. توجه داشته باشید که ممکن است چندین نرم افزار کیبورد بر روی گوشی شما نصب شده باشد (مانند Swiftkey, Gboard) برای تک تک آن‌ها این کار را انجام دهید.