Uso de un teléfono dedicado como "cartera de hardware"

¿Hay algo intrínsecamente inseguro en el uso de un teléfono Android dedicado como "cartera de hardware"?

Un teléfono dedicado implica:

  • una ROM limpia sin gapps, por ejemplo, GrapheneOS, Lineage OS sin root, etc.

  • encriptación completa del teléfono habilitada

  • no hay otras aplicaciones instaladas además de una aplicación de billetera como Mycelium, Breadwallet, GreenBits, Samurai, etc.

Me doy cuenta de que la mayoría de los teléfonos Android no tienen (todavía) un elemento seguro como los dispositivos trezor o ledger, y que las aplicaciones del sistema pueden tener privilegios ilimitados, pero ¿cuáles son los principales problemas o vectores de ataque específicos a tener en cuenta en tal configuración en comparación con las carteras de hardware dedicadas?

Tengo entendido que el acceso físico a un trezor o un libro mayor es inútil si los atacantes no tienen el PIN o la frase de contraseña y que estos dispositivos están construidos de tal manera que hacen que la extracción de claves privadas sea imposible o financieramente inviable.

¿Se puede lograr un nivel comparable de seguridad con un dispositivo Android con cifrado de teléfono completo?

Además, ¿establecer un código pin en una billetera de software de Android significa que las claves privadas en realidad se cifrarán o el pin es solo para abrir la interfaz de usuario?

¿Algún dato sobre qué aplicaciones de billetera protegen las claves de una manera que hace que su extracción sea imposible sin el código PIN/huella digital?

Recursos

Respuestas (3)

¿Se puede lograr un nivel comparable de seguridad con un dispositivo Android con cifrado de teléfono completo?

Respuesta corta: No. Esto no significa que un dispositivo Android sea malo , hay formas menos seguras de almacenar bitcoins. Pero tiene más vectores de ataque que una billetera de hardware.

Puede agregar cualquier encriptación al teléfono que desee, pero en última instancia, si ese dispositivo puede conectarse a Internet, existe el riesgo de que se le cargue algún malware. Una billetera de hardware no está en riesgo de este tipo de ataque, el elemento seguro se mantiene aislado de Internet.

Por ejemplo, si el malware de captura de pantalla se carga en el dispositivo Android y toma una captura de pantalla de su frase inicial, los métodos de cifrado no importarán en absoluto. Este tipo de ataque no es posible en una billetera de hardware.

Para que se cargue cualquier malware, debe instalarse y, como se indica en la pregunta original, el dispositivo no tendrá ninguna aplicación instalada además de la billetera, y no se utilizará para navegar por la web o correo electrónico: es va a ser utilizado exclusivamente como una billetera. ¿Cómo puede llegar cualquier malware al dispositivo en este caso? El apk se cargará lateralmente y posiblemente se construirá a partir de fuentes disponibles públicamente. Las actualizaciones de los componentes del sistema requerirían los mismos certificados que la ROM, por lo que probablemente no sea un vector.
Si un dispositivo puede conectarse a Internet, la superficie de ataque aumenta. Fin de la historia. Hay formas de mitigar este riesgo (su plan está bien en este sentido), pero en última instancia: el teléfono está diseñado y diseñado para conectarse a Internet . Es difícil desactivar esta función por completo. Si CUALQUIER dato fluye hacia el dispositivo desde el exterior, existe el riesgo de una carga útil maliciosa. Una billetera de hardware no tiene wifi, celular, funcionalidad bluetooth, por lo que estos vectores de ataque se eliminan, en lugar de solo reducirse.
entiendo los riesgos del software, y hay casos registrados de teléfonos que se enviaron con aplicaciones de sistema no autorizadas que "llamaron a casa"; mi suposición es que podría mitigarse usando una ROM personalizada verificada; lo que aún no está claro es qué tan vulnerable es el hardware de Android, es decir, chips, controladores, gráficos y cualquier tipo de puertas traseras del fabricante comprometidos porque la mayoría de los dispositivos que usamos son básicamente "cajas negras" en términos de hardware de bajo nivel.
@ccpizza "El apk se cargará lateralmente" (¿a través de adb?): la forma en que carga lateralmente el apk es exactamente el vector de ataque potencial. Incluso si hubiera deshabilitado adb manualmente, vulnerabilidades como esta se habían informado antes: alephsecurity.com/2017/03/26/oneplus3t-adb-charger

Si su objetivo final es borrar un teléfono móvil viejo para usarlo exclusivamente como una billetera de hardware barata, consideraría una Raspberry Pi. Incluso se pueden flashear para que funcionen exclusivamente como un dispositivo Trezor y se pueden construir por menos de $100 USD.

se puede comprar una billetera de hardware de la generación anterior por menos de $ 100

Si puede asegurarse de que el teléfono permanezca fuera de línea, entonces diría que puede ser más seguro que una billetera de hardware:

  • puede auditar el software de billetera que ejecuta
  • es menos obvio para los posibles atacantes que encuentran el dispositivo físico que contiene claves criptográficas.
Uso de un teléfono dedicado como "cartera de hardware"
RespuestasAquíPolítica de privacidad1y, 0v