Пять уязвимостей угрожают пользователям кошельков Trezor

12 марта

Ledger обнаружили уязвимости в кошельках конкурентов и предупредили о них вначале приватно. Однако реакции Trezor не воспоследовало, и обнаруженные слабости решили придать огласке.

В понедельник был опубликован отчет крупнейшей фирмы по производству аппаратных криптокошельков Ledger. В нем рассказывается о пяти обнаруженных уязвимостях в кошельках прямого конкурента Ledger – Trezor.

В исследовании компании сказано, что уязвимости были обнаружены в Attack Lab – специальном отделе компании, который занимается взломом как собственных устройств, так и устройств конкурентов, работая над повышением кибербезопасности кошелька. По утверждению представителей Ledger, они неоднократно обращались к Trezor по поводу слабых мест в их кошельках Trezor One и Trezor T, и решили обнародовать их лишь после окончания периода раскрытия информации.

Итак, о чем стоило бы задуматься Trezor?

  • Первая проблема – это оригинальность устройств. По словам команды исследователей из Ledger, устройство Trezor можно сымитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатав его в коробке, подделав наклейку, защищающую от несанкционированного доступа. Как оказалось, последняя легко удаляется без повреждения. Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure Element.
  • Вторая проблема: белые хакеры Ledger вычислили PIN-код для кошелька Trezor с помощью атаки по побочному каналу. Об этой уязвимости компании Trezor было сообщено еще в конце ноября 2018 года, в связи с чем все же были предприняты меры: проблема была решена в обновлении прошивки 1.8.0.
  • Третья и четвертая уязвимости, которые Леджер также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Леджер утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.
  • Пятая и последняя обнаруженная на сегодня слабость также связана с моделью безопасности Trezor. Согласно исследованию Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь секретный ключ посредством атаки по побочному каналу, хотя Trezor утверждает, что его кошельки устойчивы к ней.

На момент публикации комментарией от Trezor по поводу выводов специалистов из Ledger пока не последовало.

В ноябре 2018 года сама компания Trezor опубликовала предупреждение, что неизвестная третья сторона распространяет индивидуальные копии ее флагманского устройства Trezor One. Поддельные кошельки, как оказалось, происходили из Китая, и поэтому компания призвала владельцев покупать кошельки только с веб-сайта Trezor. Однако, судя по последнему отчету Ledger, пользователи не могут быть уверены в оригинальности и защищенности устройств, даже если они куплены на официальном сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Отдел кибербезопасности Ledger заключает, что в случае повторной продажи скомпрометированного устройства пользовательские криптовалюты могут быть украдены.

Между тем в том же ноябре исследовательская группа, стоящая за так называемым хакерским проектом Wallet.fail, продемонстрировала, как они взломали Trezor One, Ledger Nano S и Ledger Blue на конференции 35C3 Refreshing Memories. Обе компании признали обнаруженные слабые места, при этом Trezor заявил, что обновление ПО их устранит, а Ledger отметил, что эти уязвимости не являются критическими для его кошельков.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2019 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera