Ledger обнародовала уязвимости в двух моделях аппаратных кошельков конкурента Trezor

Главная » Статьи » Ledger обнародовала уязвимости в двух моделях аппаратных кошельков конкурента Trezor
12.03.2019 от
Ledger обнародовала уязвимости в двух моделях аппаратных кошельков конкурента Trezor

Согласно отчету, опубликованному 11 марта, крупнейший производитель аппаратных кошельков Ledger обнародовал пять уязвимостей в устройствах своего прямого конкурента Trezor.

На момент публикации, производитель Trezor не прокомментировал данную публикацию.

В исследовании говорится, что уязвимости были обнаружены отделом компании Attack Lab, который взламывает как собственные устройства, так и устройства конкурентов для повышения безопасности. Ledger утверждает, что он неоднократно обращался к Trezor по поводу слабых мест в их кошельках Trezor One и Trezor T, и решил обнародовать их после окончания периода нераскрытия информации.

Первая проблема связана с оригинальностью устройств. По словам команды Ledger, устройство Trezor можно сымитировать, взломав устройство с помощью вредоносного ПО, а затем повторно запечатать его в коробке, подделать защищенную от несанкционированного доступа наклейку, которую очень легко удалить. Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure Element.

Во-вторых, хакеры Ledger угадали значение PIN-кода на кошельке Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позднее компания решила эту проблему в своем обновлении прошивки 1.8.0.

Атака по сторонним (или побочным) каналам (англ. side-channel attack) — класс атак, направленный на уязвимости в практической реализации криптосистемы. В отличие от теоретического криптоанализа, атака по сторонним каналам использует информацию о физических процессах в устройстве, которые не рассматриваются в теоретическом описании криптографического алгоритма. Википедия.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.

Последняя обнаруженное слабое место также связано с моделью безопасности Trezor: согласно Ledger, криптовалютная библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь секретный ключ посредством атаки по побочным каналам, хотя Trezor утверждает, что его кошельки устойчивы к такого рода атакам.

В ноябре 2018 года сам производитель аппаратных кошельков Trezor предупредил, что неизвестная третья сторона распространяет копии флагманского устройства Trezor One. Поддельные кошельки, вроде, происходили из Китая, и поэтому компания призвала покупать кошельки только с веб-сайта Trezor.

Однако, Ledger утверждает в отчете, что пользователи не могут быть уверены в безопасности на 100%, даже если они покупают устройства на официальном сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger заключает, что в случае повторной продажи скомпрометированного устройства пользовательские криптовалюты могут быть украдены.

В ноябре 2018 года исследовательская группа, стоящая за так называемым хакерским проектом Wallet.fail, продемонстрировала, взлом Trezor One, Ledger Nano S и Ledger Blue на конференции 35C3 Refreshing Memories. И Trezor, и Ledger признались в обнаруженных уязвимостях — при этом Trezor выпустила обновление микропрограммы, которое должно было их устранить, — а Ledger также объяснила, что они не являются критическими для ее кошельков.


Обсудите эту новость в лучших чатах по криптовалюте CryptoOn и bt[c]hat

Поделиться
bitcoinBitcoin
$ 5.775,00
$
5.775,00
4.34%
rippleXRP
$ 0,306733
$
0,306733
1.65%
ethereumEthereum
$ 164,87
$
164,87
1.99%
litecoinLitecoin
$ 78,17
$
78,17
5.06%
stellarStellar
$ 0,101451
$
0,101451
1.25%
TelegramВконтактеЯндекс Зен
Вакансии
Все вакансии блокчейн индустрии в одном месте
©The Blockchain Journal, 2019
X