Atualização da BitBox 06.2022 Rothorn

Segurança em primeiro lugar

O que aconteceu?

Em 21 de maio de 2022, Dmitry Zemlyakov divulgou com responsabilidade por meio de nosso programa de recompensas de bugs uma vulnerabilidade no instalador do BitBoxApp para Windows que potencialmente permite que um invasor execute malware com privilégios de administrador durante o processo de instalação. Este problema foi resolvido com esta atualização.

Não encontramos nenhuma evidência de que a vulnerabilidade foi explorada. Gostaríamos de agradecer a Dmitry Zemlyakov por seu apoio na melhoria da segurança de nossos produtos.

Detalhes técnicos

O instalador do BitBoxApp no ​​Windows chama o comando do sistema Windows “taskkill” para fechar um processo BitBoxApp em execução para que ele possa atualizar o executável do BitBoxApp. Se um invasor conseguir colocar um executável chamado “taskkill” na mesma pasta que o instalador do BitBoxApp (geralmente a pasta Downloads) antes de executar o instalador, esse executável será executado em vez do comando do sistema, potencialmente executando malware.

Esta atualização elimina esse risco ao não chamar mais “taskkill”.

Estou em risco?

Nenhuma ação é necessária, esta versão simplesmente melhora a segurança geral do sistema para esta e futuras atualizações. Em geral, a carteira de hardware BitBox02 foi projetada para protegê-lo de possíveis malwares executados em seu computador ou celular acessando seus fundos de criptografia, até mesmo o próprio BitBoxApp. Essa vulnerabilidade não representa nenhum risco adicional nesse sentido. Ao verificar endereços de recebimento e transações no BitBox02, o risco é bastante reduzido de que malware no computador possa acessar seus fundos. Por favor, certifique-se sempre de verificar corretamente cada ação no BitBox02.

EIP-712: Dados estruturados tipados Ethereum

EIP é a abreviação de “Proposta de Melhoria Ethereum”. Como o Ethereum é um protocolo aberto, qualquer pessoa pode fazer uma proposta e pode ser implementada se houver consenso da comunidade.

EIP-712 é um padrão para assinatura de mensagens que permite que os dados sejam exibidos em um formato legível para que o usuário possa verificar o que está assinando, o que melhora a segurança e a usabilidade. Antes do EIP712, um usuário não podia verificar facilmente o que estava assinando, pois era exibido apenas como uma string hexadecimal em vez de em um formato legível.

Embora esse padrão tenha sido proposto em 2017, só recentemente ganhou força, especialmente com contratos inteligentes para listar NFTs em plataformas como OpenSea e outras. Esta atualização de firmware agora permite que os usuários do BitBox02 usem esses serviços de forma mais transparente e segura.

Na esquerda assinatura de dados de contrato que não são compatíveis com EIP712. Na direita dados do contrato de acordo com EIP-712 (legíveis por humanos e mais fáceis de verificar).

Várias melhorias menores

Continuamos melhorando a interface do usuário do BitBoxApp e implementando as melhores práticas. A exibição de portfólio é um exemplo disso: agora mostra marcadores de posição em tamanho real indicando que está carregando dados, impedindo que outros conteúdos se movam quando o gráfico for exibido.

Outro exemplo vem de um colaborador externo, atualizando o ícone do macOS do BitBoxApp de acordo com as novas diretrizes de design da Apple. Muito obrigado, Valid Block!

Confira o registro de alterações técnicas do BitBoxApp e do firmware BitBox02 para obter uma lista completa de alterações.