Saltar al contenido

Actualice su CoolWallet para anular la vulnerabilidad potencial de Bluetooth

Actualice su CoolWallet para anular la vulnerabilidad potencial de Bluetooth

¿Qué ha pasado?

De acuerdo con nuestra política de divulgación responsable, CoolBitX desea compartir con nuestros usuarios que hemos descubierto una vulnerabilidad potencial en el protocolo Bluetooth cifrado utilizado por CoolWallet S en condiciones muy específicas.

Acabamos de publicar una nueva versión de la aplicación CoolBitX Crypto y una actualización del firmware de CoolWallet S que resuelve el problema. Si bien no hay necesidad de alarma, le recomendamos encarecidamente que instale ambas actualizaciones lo antes posible para mantener una seguridad óptima en sus dispositivos.

¿Cómo se puede aprovechar esta vulnerabilidad?

Nos gustaría agradecer a KK8 por alertarnos sobre este problema, que potencialmente podría usarse en CoolWallets no actualizados si se cumplen estas 3 condiciones muy específicas:

  1. Si un usuario usa las funciones básicas de creación de billetera y recuperación de billetera a través de una versión de la aplicación desactualizada.
  2. Si un actor malintencionado se encuentra físicamente a menos de 30 metros de usted y su CoolWallet en ese momento.
  3. Si el mal actor ha preparado un segundo CoolWallet para interceptar información privada.

Que deberías hacer a continuación

Para ofrecerle la mejor seguridad, le recomendamos encarecidamente que actualice su aplicación CoolBitX Crypto y el firmware CoolWallet S a estas últimas versiones:

  • Aplicación CoolBitX Crypto: actualización a la versión 2.9.1
  • Firmware de CoolWallet S: actualización a 106

Hasta que lo haga, le recomendamos que siga estos 2 métodos recomendados para mantenerse 100% resistente a posibles exploits como el descrito anteriormente:

  1. Solo use su tarjeta Coolwallet S física, no la aplicación, para generar una nueva billetera y semilla de recuperación.
  2. Utilice el procedimiento de Recuperación avanzada con tarjeta para restaurar su billetera si es necesario.

Evite crear una billetera y usar medidas básicas de recuperación de semillas a través de nuestra aplicación hasta que haya actualizado. Estos son de mucho tiempo

Cómo actualizar su CoolWallet y su aplicación (RECOMENDADO)

Como es de esperar que ya sepa, a principios de 2020 renovamos por completo la estructura del protocolo de seguridad. Desafortunadamente, esto requirió un reinicio de billetera un poco complicado para que el cambio fuera exitoso.

Si no ha realizado este restablecimiento anteriormente, esto es lo que debe hacer.

Para actualizar su aplicación a la versión 2.9.100 y el firmware a la versión 106, siga los pasos a continuación para completar esta actualización de firmware específica:

  1. Asegúrese de tener una copia de seguridad de su semilla de recuperación (debe tener entre 12 y 24 conjuntos de números escritos en una tarjeta de papel que viene con su CoolWallet S. ¡NO continúe sin esta semilla de recuperación!
  2. Quite (desinstale) la aplicación CoolBitX Crypto en su teléfono
  3. Vaya a la página de configuración de Bluetooth en su teléfono y retire el dispositivo CoolWallet S (CWSXXXXXX).
  4. Vuelva a instalar la última aplicación CoolBitX Crypto de la App Store.
  5. Abra la aplicación, seleccione el número de serie de CoolWallet S correspondiente y haga clic en Restablecer.
  6. Una vez que se haya completado el reinicio, seleccione el número de serie de CoolWallet S correspondiente y haga clic en Conectar.
  7. Seleccione Recuperar e ingrese sus semillas respaldadas para recuperar los datos de su billetera.
  8. Actualice el firmware nuevamente.
  9. ¡Estás actualizado!
  10. * Cargue la billetera durante la actualización del firmware. Si necesita más ayuda, contáctenos.

Sin embargo, si los usuarios han actualizado previamente su firmware a 105, no es necesario reiniciar. Solo necesitan actualizar el firmware y la aplicación esta vez.

¿Por qué es necesario?

Con el aumento vertiginoso del precio de Bitcoin, cada vez más actores maliciosos se sienten atraídos por la industria de la criptografía, y se dirigen a las billeteras privadas y de custodia (como las de las bolsas) con malware de phishing y ataques más sofisticados.

CoolWallet S fue diseñado para ofrecer seguridad y conveniencia superiores a los usuarios. Debido a su movilidad y facilidad de uso, puede utilizarlo prácticamente en cualquier entorno.

Por lo tanto, es realmente importante instalar siempre las últimas actualizaciones y considerar su entorno físico inmediato cuando interactúe con datos confidenciales, tal como lo haría con su teléfono u otros dispositivos en línea.

Si sigue estas sencillas pautas, una billetera de hardware con funciones sofisticadas de almacenamiento en frío como CoolWallet S sigue siendo la mejor opción más segura.

Siga leyendo para obtener más información sobre esta vulnerabilidad y cómo puede proteger mejor sus fondos criptográficos a largo plazo.

¿Cómo se puede explotar potencialmente esta vulnerabilidad de Bluetooth?

Bluetooth es por diseño un protocolo de comunicación que transmite información a otros dispositivos electrónicos. Esto significa que, en circunstancias muy específicas, los malos actores en la misma vecindad física pueden potencialmente recuperar datos de creación de billeteras a través de otros dispositivos Bluetooth cuando los datos se transfieren a través de Bluetooth.

Si bien los datos de CoolWallet están protegidos con encriptación AES-256 de grado militar que se detiene en caso de exposición a otros dispositivos y mantiene los datos esenciales fuera de línea en todo momento, es posible bajo condiciones muy específicas enviar los datos encriptados a otro CoolWallet preparado dentro de los 30 metros y ejecute el mismo comando con la misma carga útil nuevamente.

Como resultado, la vulnerabilidad permite al actor malintencionado en las proximidades volver a ejecutar los comandos con las mismas cargas útiles en el segundo CoolWallet con los datos recuperados del protocolo Bluetooth del primer CoolWallet al transportar datos.

Esto le permite al atacante reproducir el proceso básico de recuperación de billetera y la creación de una nueva billetera a través de la aplicación móvil, ya que la carga útil contiene la clave privada generada con las frases semilla por la aplicación.

Nuevamente, es importante tener en cuenta que el pirata informático tiene que estar físicamente a 30 metros o menos (el rango máximo de Bluetooth de baja energía) de usted y su CoolWallet, y que la carga útil SOLO se revela a otro CoolWallet preparado durante la creación o recuperación de nuestra billetera básica. proceso, que normalmente sólo tarda unos minutos en realizarse.

¿Algún otro caso de uso y características de CoolWallet afectado que deba conocer?

Podemos responder a esto con un claro «No». Una vez que se haya completado el proceso de creación de la billetera, la clave privada se almacenará de manera inmutable y se instalará en el CoolWallet S sin ninguna interfaz para recuperarla. En otras palabras, su clave privada nunca volverá a dejar su CoolWallet.

Además de la creación de la billetera y el proceso de recuperación básico, el atacante no podrá reproducir los mismos comandos con las mismas cargas útiles, lo que significa que los piratas informáticos no recibirán el mismo resultado con un CoolWallet adicional.

Y, por supuesto, nuestra nueva actualización cerrará este problema potencial para siempre.

¿Cómo pueden los usuarios de CoolWallet S protegerse de los malos actores?

Como la primera billetera de hardware habilitada para Bluetooth (2016), creemos que somos los más experimentados y capacitados para proteger el protocolo Bluetooth para los usuarios de billeteras. Sin embargo, necesitamos su ayuda para garantizar una protección de extremo a extremo.

La solución es muy simple. Simplemente siga estas 5 precauciones de seguridad recomendadas:

1) Entorno de confianza

Asegúrese de estar en un entorno seguro y privado al configurar su CoolWallet, como su casa o lejos de otras personas. El CoolWallet S cabe discretamente en su billetera y no se puede usar sin que su teléfono esté cerca y sin la elusión de varios niveles de sus protocolos de seguridad biométrica.

2) Manténgalo fuera de línea y en papel

Le recomendamos encarecidamente que siempre configure o restaure su billetera a través de la tarjeta CoolWallet S real, no nuestra aplicación. Claro, lleva unos minutos más, pero la ventaja de seguridad adicional supera con creces los inconvenientes.

3) Mantenga la aplicación actualizada

Asegúrese de actualizar siempre a nuestra última versión de la aplicación poco después de recibir una notificación de lanzamiento.

4) Solo actualizaciones oficiales de la tienda

Actualice solo desde las tiendas oficiales de iOS y Google Play para evitar cualquier posible phishing, que ha afectado a otros proveedores de billeteras.

5) Funciones avanzadas, seguridad avanzada

Lo diremos de nuevo: para una seguridad óptima, realice el proceso de recuperación de su billetera utilizando el método de “Recuperación avanzada” y “Cree una nueva billetera” con frases iniciales generadas por la tarjeta física CoolWallet S para garantizar una experiencia y una seguridad óptimas para el usuario. Estos dos métodos pueden negar completamente (¡sí, 100%!) La vulnerabilidad mencionada anteriormente.

¿Que sigue?

Lanzaremos una actualización de nuestra aplicación CoolBitX Crypto en los próximos días que solucionará la posible falla de seguridad. Agradecemos a la comunidad CoolWallet por su apoyo y, por favor, póngase en contacto con nosotros si tiene más inquietudes.

Sin embargo, con el valor de las criptomonedas como Bitcoin aumentando a nuevos niveles, las billeteras de hardware como CoolWallet S continuarán siendo el objetivo de actores buenos y malos que desafían nuestros protocolos de seguridad. Es normal para la industria de la criptografía y nos ayuda a responder, hacer pruebas de batalla y mejorar continuamente nuestro producto.

Pensamientos finales

La seguridad de los fondos de los usuarios de CoolWallet S es nuestra máxima prioridad en todo momento. Un dispositivo de almacenamiento en frío con un elemento seguro (SE) y medidas de seguridad biométricas adicionales empleadas por CoolWallet siempre será su apuesta más segura para garantizar la seguridad a largo plazo de sus fondos.

¡Mantente seguro e informado!

Lectura adicional: