Как утверждают специалисты Kraken Security Labs, аппаратный криптокошелёк KeepKey может быть взломан всего за 15 минут, конечно, при наличие у хакера физического доступа к устройству.
В своём блоге Kraken Security Labs рассказывает, что с помощью атаки «сбой напряжения», которая извлекает зашифрованные сид-слова для получения доступа к криптоактивам на устройстве KeepKey, хакеры получают возможность подобрать PIN-код пользователя (число от 1 до 9 знаков). С этим легко справится брутфорс, атака «грубой силы», основанная на подборе.
По оценкам Kraken, изготовление устройства для атак «сбой напряжения» обойдётся хакерам в $ 75. Меняя напряжение в микроконтроллере KeepKey, они модифицируют биты инструкций, которые создают защищённые зоны (анклавы) для хранения конфиденциальных данных в адресном пространстве. Это приводит к возникновению ошибок, и данные, в том числе сид-слова, покидают защищённый анклав. Далее, уже на программном уровне, злоумышленники считывают их из открытого адресного пространства, после чего подбирают PIN.
Несомненно, атака требует технических знаний, но выполнить её можно достаточно быстро – всего за 15 минут. Так как манипуляциям подвергается сам микроконтроллер, усилия ShapeShift, вендора кошелька KeepKey, по созданию новой прошивки не принесут никакого результата.
«Атака использует уязвимость микроконтроллера KeepKey… Исследование показывает, что безопасность таких кошельков не должна зависеть исключительно от микроконтроллера STM32F205», – написано в посте Kraken.
В Kraken Security Labs советуют пользователям никому не передавать свои устройства, а для BIP39 паролей использовать клиент KeepKey. В этом случае они не будут храниться на устройстве, соответственно, не будут уязвимы для атаки.
Считается, что в KeepKey знают об этих типах атак, но считают, что их задача состоит только в «защите ключи от удалённых атак». Об уязвимости микроконтроллера стало известно ещё 11 сентября этого года, поэтому в Kraken решили опубликовать пост в блоге, рассчитывая привлечь внимание криптосообщества для устранения проблемы.
(1 оценок, среднее: 4,00 из 5)
Загрузка...
Переводчик. Любовь к деньгам и IT настолько переполняет его, что он готов читать о них на разных языках. А иногда даже писать.
