Заголовок немного неточен, но об этом далее. Как известно, Биткоин кошелек — это просто адрес, называемый еще публичным ключом, а для доступа к этому кошельку существует приватный ключ. Вместе они составляют уникальную пару, неповторимую и неподбираемую. У этой пары есть еще одно полезное свойство. Зная приватный ключ — легко получить публичный, но наоборот это не работает.

Приватным ключом может служить что угодно, например, какой-нибудь легко запоминаемый уникальный текст (об этом мы рассказывали в статье под названием “Что такое умственный кошелек“). Приватным ключом может быть и какая-нибудь картинка, например, фотография любимого котика также обладает всеми необходимыми свойствами уникальности. Именно последнюю возможность и решили эксплуатировать авторы Android-приложения Show Me The Bitcoin!

1. Вы запускаете Show Me The Bitcoin!, нажимаете на кнопку и выбираете изображение из галереи или прямо с камеры.
2. Приложение генерирует адрес кошелька и предлагает на него зачислить средства. Если на ваш телефон установлен Bitcoin-кошелек, то еще одно нажатие кнопки и откроется диалог пересылки средств на сгенерированный адрес.
3. После того, как деньги в кошелек перечислены, выбор за вами — например, вы можете приложить фото к письму и отправить по e-mail.
4. Точно также, получив e-mail с картинкой, вы можете открыть изображение в Show Me The Bitcoin!, “снять” средства и перечислить на любой из своих адресов.

Предупредим, что посылать приватные ключи по открытым каналам, наподобие электронной почты, может оказаться очень небезопасным, поэтому эту возможность следует применять осторожно и для небольших сумм.

Одно из других возможных применений, на которое указывает автор приложения — это “security through obscurity”, т.е. желающие могут “спрятать” средства под видом безобидных фотографий и, скажем в случае конфискации жесткого диска, надеяться, что никто не догадается их проверить. В таком случае, гораздо полезнее была бы функция, позволяющая выбрать сразу несколько фотографий и уже на их основе генерировать ключи — таким образом атакующему пришлось бы угадывать ключи при помощи пермутаций исходных файлов, а пользователям, в то же время, запомнить какие фотографии и в какой последовательности были выбраны, гораздо легче, чем уникальный текст доступа к “умственному кошельку”.

Демонстрация работы приложения в эмуляторе Android: