Ledger разкрива пет доказани уязвимости в два от моделите на Trezor Hardware Wallets

Големият производител на хардуерни портфейли Ledger разкри пропуски в сигурността в устройствата на своя пряк конкурент Trezor, според доклада, публикуван в понеделник, март. 11.

От времето на публикацията, Trezor все още не се е проявил с коментари по  констатациите на Леджър .

Проучването сочи, че пропуски в сигурността са били открити от лабораторията „Атака“, отдела на компанията им, който хаква както собствените им, така и конкурентните устройства за цялостно подобряване на сигурността.

Ledger твърди, че многократно е алармирал своя конкурент относно слабостите в портфейлите Trezor One и Trezor T и е решил да ги публикува след изтичане на отговорния период за разкриване.

Първият проблем е свързан с истинността на устройствата. Според екипа на Ledger, устройството на Trezor може лесно да бъде компрометирано, след като се зарази със вирус и след това обратно се запечата в кутията, като се подправи и стикера за защита срещу отваряне, за който се твърди, че е лесно да се премахне и фалшифицира.

Ledger заявява, че тази уязвимост може да бъде преодоляна единствено чрез преразглеждане на дизайна на портфейлите на Trezor и по-специално чрез замяна на един от основните компоненти с чип като охранителен елемент.

На второ място, хакерите от Ledger предполагат, че сигурността на ПИН кода на портфейла на Trezor е използван за атаки от страничен канал и са го докладвали на Trezor в края на ноември 2018 г. Компанията по-късно решава проблема с актуализацията на фърмуера си с 1.8.0.

Третата и четвъртата уязвимости, които Ledger предлага да решат конкурентите е отново чрез замяната на основния компонент с чипа като охранителен елемент, което ще е превент на възможността за кражба на поверителни данни от устройството.

Главната забележка посочва, че човек с физически достъп до Trezor One и Trezor T може да извлече всички данни от паметта и да получи контрол върху активите, съхранени в устройството.

Последната открита слабост също е свързана с модела за сигурност на Trezor: според Ledger, крипто-библиотеката на Trezor One не съдържа подходящи контрамерки срещу хардуерни атаки.

Екипът твърди, че хакер с физически достъп до устройството може да извлече тайния ключ чрез атака в страничен канал, въпреки че Trezor твърди, че портфейлите му са устойчиви на такива атаки.

През ноември 2018 г. самият Trezor предупреди общността, че неизвестна трета страна разпространява копия едино към едно на тяхння първенец Trezor One.

Фалшивите портфейли сякаш произлизат от Китай, и по този начин компанията призова собствениците да купуват портфейли само от уебсайта на Trezor.

В последния доклад Ledger твърди, че потребителите не могат да бъдат сигурни в трезор, дори когато купуват хардуер от официалния им сайт.

Хакер би могъл да закупи няколко от устройствата, да ги зарази и да ги върне обратно на производителя, като поиска да му се възстанови сумата.

В случай, че компрометираното устройство се продаде отново на пазара, криптовалутите на потребителя могат да бъдат откраднати, заключава Ledger.

През ноември 2018 г. на конференцията 35C3 Refreshing Memories изследователският екип на така наречения хакерски проект Wallet.fail показа нагледно как хакват Trezor One, Ledger Nano S и Ledger Blue.

Както Trezor, така и Ledger са признали за установените пропуски в сигурността.

– по този случай Trezor отбеляза, че новата актуализация на фърмуера ще ги подсигури.

– а Ledger се основа на факта, че този тест не е критичен за портфейлите му.

ВАШИЯТ КОМЕНТАР

Моля въведете Вашият коментар
Моля въведете Вашето име тук