هشدار: قابلیت پیش‌بینی متن کیبورد موبایل، عبارت 12 کلمه‌ای کیف پول‌ها را حدس می‌زند

کاربر شبکه اجتماعی ردیت، آندره Andre) ) بر سهولت استفاده هکرها از قابلیت پیش‌بینی متن (text prediction) کیبورد تلفن‌های همراه تنها با تایپ اولین کلمه از لیست BIP 39، به منظور تخلیه رمزارزهای کاربران، تأکید کرد.

عبارت سید 12 کلمه‌ای Seed phrase))، که یک ترکیب تصادفی از لیست 2048 کلمه‌ای BIP 39 بیت‌کوین است، به عنوان یکی از اولین لایه‌های امنیتی در برابر دسترسی غیرمجاز به رمزارزهای کاربران عمل می‌کند. اما، وقتی دفعه بعد که می‌خواهید به کیف پول دیجیتال خود دسترسی پیدا کنید قابلیت predictive typing کیبورد شما کلمات را به خاطر بیاورد و پیشنهاد کند چه اتفاقی می‌افتد؟

یک کارشناس آیتی 33 ساله از آلمان به نام آندره، اخیراً پس از کشف قابلیت تلفن همراه خود در پیش‌بینی کل عبارت 12 کلمه‌ای به محض تایپ کردن اولین کلمه، در شبکه ردیت پست گذاشت.

آندره به منظور هشدار به کاربران شبکه ردیت و علاقه‌مندان به ارزهای دیجیتال، بر سهولت استفاده هکرها از این قابلیت برای تخلیه وجوه کاربران تنها با تایپ اولین کلمه از لیست BIP 39 تأکید کرد:

«این قابلیت کار هکر را آسان می‌کند، او گوشی را در دست می‌گیرد، یک اپلیکیشن چت باز می‌کند و یک کلمه از لیست BIP39 را تایپ می‌کند، حال ببینید که کیبورد تلفن چه چیزی را پیشنهاد می‌کند!!!.»

آندره که در شبکه ردیت با نام u/Divinux شناخته می‌شود، در گفت‌وگو با کوین تلگراف، تجربه خود از اولین باری که کیبورد موبایل او واقعاً عبارت 12-24 کلمه‌ای او را حدس زد، را به اشتراک گذاشت. «اولش، مات و مبهوت بودم. دو سه کلمه اول ممکن است تصادفی باشد، درست است؟

قابل به ذکر است که این سرمایه‌گذار آلمانی ارز دیجیتال به‌عنوان یک متخصص فن‌آوری، توانست سناریویی را که در آن تلفن همراه او ‌توانست عبارات سید را به دقت پیش‌بینی کند، مجدداً اجرا کند. پس از پی بردن به پیامدهای احتمالی این موضوع، «فکر کردم که باید در مورد آن به مردم اطلاع رسانی کنم. مطمئنم افراد دیگری هم هستند که عبارات سید خود را در گوشی خود تایپ کرده‌اند.»

آزمایش‌های آندره ثابت کرد که کیبورد GBoard گوگل کمترین آسیب‌پذیری را دارد زیرا این نرم‌افزار همه کلمات را به ترتیب درست پیش‌بینی نمی‌کند. با این حال، کیبورد Swiftkey مایکروسافت قادر به پیش‌بینی عبارت اولیه است. کیبورد سامسونگ نیز در صورتی که گزینه «Auto replace» و «Suggest text corrections» روشن باشد، می‌تواند کلمات را پیش‌بینی کند.

اولین فعالیت آندره در حوزه ارزهای دیجیتال به سال 2015 برمی‌گردد، زمانی که او متوجه شد می‌تواند با استفاده از بیت‌کوین (BTC) و سایر ارزهای دیجیتال، کالا و خدمات خریداری کند. استراتژی سرمایه‌گذاری او خرید و استیک کردن بیت‌کوین و آلت‌کوین‌هایی مانند ترا (LUNA)، آلگوراند (ALGO) و تزوس (XTZ) و «سپس میانگین‌‌ کم کردن BTC هنگام صعود آن است». این متخصص IT همچنین برای سرگرمی کوین‌ها و توکن‌های خود را توسعه می‌دهد.

به گفته آندره، یک اقدام امنیتی در برابر حملات هکری احتمالی، ذخیره دارایی‌های بزرگ و بلند مدت در یک کیف پول سخت افزاری است. او به کاربران ردیت در سراسر جهان توصیه کرد: «مراقب کلیدهای خود باشید، تحقیق خودتان را بکنید، فومو (FOMO) نکنید، هرگز بیشتر از چیزی که می‌توانید از دست بدهید سرمایه‌گذاری نکنید، همیشه آدرسی را که به آن رمزارز ارسال می‌کنید دوبار چک کنید، همیشه اول یک مقدار اندک (رمزارز) ارسال کنید. و قابلیت پیشینی متن را در تنظیمات غیرفعال کنید،»

نتیجه گیری:

«با پاک کردن حافظه کشِ کیبورد و predictive type از این اتفاق جلوگیری کنید.»

شرکت امنیت بلاکچین PeckShield در مورد شمار زیادی از وب‌سایت‌های فیشینگ که کاربران اپلیکیشن لایف استایل STEPN را هدف قرار می‌دهند، به کامیونیتی کریپتو هشدار داد.

همان‌طور که اخیراً کوین تلگراف گزارش داد، بر اساس یافته‌های PechShield، هکرها یک پلاگین جعلی برای مرورگر کیف پول متامسک MetaMask)) ساخته اند که از طریق آن می‌توانند عبارات اولیه کاربران STEPN را سرقت کنند.

دسترسی به عبارت سید به معنای کنترل کامل بر دارایی‌های کاربر از طریق اپلیکیشن STEPN است.