Ledger разкри пет доказани уязвимости в два от Хардуерния портфейл на Trezor 

0
1098
крипто сигурност ledger trezor

Хардуерни портфейли Ledger разкри пропуски в сигурността в устройствата на своя пряк конкурент Trezor.

Според доклада, публикуван в понеделник 11-ти март 2019.

Петте уязвимости в моделите на Хардуерния портфейл Trezor 

От времето на публикацията, Trezor все още не се е проявил с коментари по констатациите на Леджър .

Проучването сочи, че пропуски в сигурността са били открити от лабораторията „Атака“, отдела на компанията им, който хаква както собствените си, така и конкурентните хардуерени портфейли с цел цялостно подобряване на сигурността.

Хардуерния портфейл разработчик Ledger твърди, че многократно е алармирала своя конкурент относно слабостите в портфейлите Trezor One и Trezor T и е решил да ги публикува след изтичане на отговорния период за разкриване.

Проблемите в сигурността

Първият проблем е свързан с истинността на хардуерения портфейл. Според екипа на Ledger, хардуерни портфейли Trezor могат лесно да бъдат компрометирани. Начинът е:

  • заразяване със вирус и след това отново запечатване на кутията; 
  • подправяне на стикера за защита срещу отваряне, за който се твърди, че е лесен да бъде премахнат и фалшифицира.

Ledger заявява, че тази уязвимост може да бъде преодоляна единствено чрез преразглеждане на дизайна на портфейлите на Trezor. По-специално чрез замяна на един от основните компоненти с чип като охранителен елемент.

На второ място, хакерите от Ledger предполагат, че сигурността на ПИН кода на  Trezor е използван за атаки от страничен канал. Докладвали са на Trezor в края на ноември 2018 г. и компанията по-късно решава проблема с актуализацията на фърмуера си с 1.8.0.

Третата и четвъртата уязвимости, които Ledger предлага да се реши в конкурентните модели е.: „Отново чрез замяната на основния компонент с чип като охранителен елемент, което ще е превент на възможността за кражба на поверителни данни от устройството.“

Главната забележка посочва, че човек с физически достъп до Trezor One и Trezor T може да извлече всички данни от паметта. И да получи контрол върху активите, съхранени в устройството.

Последната открита слабост също е свързана с модела за сигурност на Trezor: според Ledger, крипто-библиотеката на Trezor One не съдържа подходящи контрамерки срещу хардуерни атаки.

В заключение

Екипът твърди, че хакер с физически достъп до хардуерния портфейл може да извлече тайния ключ чрез атака в страничен канал. На тези „безпочвени“ обвинения Trezor потвърди, че портфейлите му са устойчиви на този род атаки .

През ноември 2018 г. самият Trezor предупреди общността, че неизвестна трета страна разпространява идентични копия на техния първенец Trezor One.

Фалшивите хардуерни портфейли очевидно произлизат от Китай! По този начин компанията призова собствениците да купуват портфейли само от уебсайта на Trezor.

В последния доклад Ledger твърди, че потребителите не могат да бъдат сигурни в Трезор, дори когато купуват хардуер от официалния им сайт.

Хакер би могъл да закупи няколко от устройствата. Да ги зарази, и да ги върне обратно към производителя, като поиска да му се възстанови сумата.

В случай, че компрометираното устройство се продаде отново на пазара, криптовалутите на потребителите могат да бъдат откраднати, заключава Ledger.

Тест за Сигурност

През ноември 2018 г. на конференцията 35C3 Refreshing Memories изследователският екип на така наречения хакерски проект. Wallet. Fail показа нагледно как хакват Trezor One, Ledger Nano S и Ledger Blue.

хардуерени портфейли, криптовалута

Както Trezor, така и Ledger са признали за установени пропуски в сигурността на своите хардуерни портфейли.

– по този случай Trezor отбеляза, че новата актуализация на фърмуера ще ги подсигури.

– а Ledger се основа на факта, че този тест не е критичен за портфейлите му.

Леджър-един отнай-сигурните крипто  хардуерни портфейли на пазара днес нано леджър ес

 

ВАШИЯТ КОМЕНТАР

Моля въведете Вашият коментар
Моля въведете Вашето име тук