La nueva aplicación hace que Bitcoin sea más seguro

Un ingeniero informático de la Universidad Estatal de Michigan tiene un consejo para los millones de propietarios de bitcoins que usan aplicaciones de teléfonos inteligentes para administrar su criptomoneda: no lo haga. O al menos, ten cuidado. Los investigadores de MSU están desarrollando una aplicación móvil que servirá como protección para aplicaciones de «billetera» populares pero vulnerables que se utilizan para administrar criptomonedas.

“Cada vez más personas usan aplicaciones de billetera Bitcoin en sus teléfonos inteligentes”, dijo Guan-Hua Tu, profesor asistente en la Facultad de Ingeniería de MSU que trabaja en el Departamento de Computación e Ingeniería. «Pero estas aplicaciones tienen vulnerabilidades».

Las aplicaciones de billetera para teléfonos inteligentes facilitan la compra y el comercio de criptomonedas, una moneda digital relativamente nueva que puede ser difícil de entender en casi todos los aspectos excepto en uno: es claramente valiosa. Bitcoin era la criptomoneda más valiosa en el momento de escribir este artículo, con un valor de Bitcoin de más de $ 55,000.

Pero Tu y su equipo descubren vulnerabilidades que pueden poner en riesgo el dinero y la información personal de un usuario. La buena noticia es que el equipo también está ayudando a los usuarios a protegerse mejor al educarlos sobre estos problemas de seguridad y desarrollar una aplicación que corrija estas vulnerabilidades.

Los investigadores presentaron esta aplicación, el Bitcoin Security Rectifier, en un artículo publicado para la conferencia Association for Computing Machinery sobre seguridad y privacidad de datos y aplicaciones. En términos de conciencia, desea ayudar a los usuarios de billetera a comprender que estas aplicaciones pueden hacerlos vulnerables al violar uno de los principios básicos de Bitcoin, que se llama descentralización.

Bitcoin es una moneda que no está vinculada a ningún banco central o gobierno. Tampoco hay un servidor informático central que almacene toda la información sobre las cuentas de Bitcoin, como quién es el propietario de cuánto.

“Algunas aplicaciones violan este principio descentralizado”, dijo Tu. «Las aplicaciones son desarrolladas por terceros. Y pueden permitir que su aplicación de billetera se conecte a su servidor propietario que luego se conecta a Bitcoin».

En esencia, Bitcoin Security Rectifier puede introducir un intermediario que Bitcoin omite por diseño. Los usuarios a menudo no lo saben y los desarrolladores de aplicaciones no están necesariamente dispuestos a proporcionar la información.

“Más del 90% de los usuarios no saben si su billetera viola este principio de diseño descentralizado basado en los resultados de un estudio de usuarios”, dijo Tu. Y si una aplicación viola este principio, puede representar un gran riesgo de seguridad para el usuario. Por ejemplo, puede abrir la puerta para que un desarrollador de aplicaciones sin escrúpulos simplemente tome el bitcoin de un usuario.

Tu dijo que la mejor manera para que los usuarios se protejan es no usar una aplicación de billetera para teléfonos inteligentes desarrollada por desarrolladores que no son de confianza. Más bien, alienta a los usuarios a administrar sus bitcoins utilizando una computadora, no un teléfono inteligente, y los recursos disponibles en el sitio web oficial de Bitcoin, bitcoin.org. Por ejemplo, el sitio puede ayudar a los usuarios a tomar decisiones informadas sobre las aplicaciones de billetera.

Pero incluso las billeteras desarrolladas por fuentes acreditadas pueden no ser completamente seguras, que es donde entra la nueva aplicación.

La mayoría de los programas para teléfonos inteligentes están escritos en un lenguaje de programación llamado Java. Las aplicaciones de billetera de Bitcoin utilizan una biblioteca de código Java conocida como bitcoinj, que se pronuncia «bitcoin jay». La biblioteca en sí tiene vulnerabilidades que los ciberdelincuentes podrían atacar, como demostró el equipo en su artículo reciente.

Estos ataques pueden tener varias consecuencias, incluido el compromiso de la información personal de un usuario. Por ejemplo, pueden ayudar a un atacante a inferir todas las direcciones de Bitcoin que los usuarios de billetera usaron para enviar o recibir Bitcoin. Los ataques también pueden enviar toneladas de datos no deseados a un usuario, agotar las baterías y generar facturas telefónicas elevadas.

La aplicación de Tu está diseñada para ejecutarse en el mismo teléfono que una billetera al mismo tiempo, donde busca señales de tales intrusiones. La aplicación alerta a los usuarios cuando ocurre un ataque y proporciona soluciones basadas en el tipo de ataque, dijo Tu. Por ejemplo, la aplicación puede agregar «ruido» a los mensajes de Bitcoin salientes para evitar que un ladrón obtenga información precisa.

“El objetivo es que pueda descargar nuestra herramienta y estar a salvo de estos ataques”, dijo Tu.

Actualmente, el equipo está desarrollando la aplicación para teléfonos Android y planea descargarla de Google Play App Store en los próximos meses. Actualmente no hay un cronograma para una aplicación de iPhone debido a los desafíos y restricciones adicionales que plantea iOS, dijo Tu.

Mientras tanto, sin embargo, Tu ha señalado que la mejor manera para que los usuarios se protejan de las inseguridades de la billetera de un teléfono inteligente bitcoin es simplemente no usar una, a menos que el desarrollador confíe en ella.

«Lo principal que quiero compartir es que si no está familiarizado con las aplicaciones de billetera de su teléfono inteligente, es mejor que no las use porque cualquier desarrollador, malintencionado o benigno, puede cargar sus aplicaciones de billetera en Google. Play o Apple App Store», dijo. dice.

###

El profesor Li Xiao de la MSU y un doctorado también colaboraron en este proyecto. los estudiantes Yiwen Hu y Sihan Wang, todos del Departamento de Ingeniería y Ciencias de la Computación. Este trabajo fue financiado en parte por la National Science Foundation.

Advertencia: AAAS y EurekAlert! no son responsables de la exactitud de los comunicados de prensa publicados en EurekAlert. por las instituciones contribuyentes o para el uso de cualquier información a través del sistema EurekAlert.