Согласно опубликованному отчёту, один из крупнейших производителей аппаратных кошельков, Ledger, публично раскрыл уязвимости в устройствах своего конкурента Trezor, о чём сообщил Cointelegraph.
В исследовании говорится, что уязвимости были обнаружены Attack Lab, подразделении компании, которое взламывает как собственные устройства, так и устройства конкурентов для повышения безопасности. По утверждениям Ledger, они неоднократно обращались к Trezor по поводу слабых мест в Trezor One и Trezor T, решив обнародовать их после окончания периода раскрытия информации.
Первая проблема связана с оригинальностью, где устройство Trezor можно имитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатать в коробке, подделав защищенную от несанкционированного доступа наклейку, которую, как сообщается, легко удалить. Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor.
Во-вторых, хакеры Ledger нашли способ получить PIN-код кошелька Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позднее компания решила эту проблему в своем обновлении прошивки 1.8.0.
Следующая уязвимость, которую Ledger предлагает устранить, заменив основной компонент микросхемой Secure Element, заключается в возможности кражи конфиденциальных данных с устройства, утверждая, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.
Последняя обнаруженная слабость заключается в том, что Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь приватный ключ посредством атаки по побочному каналу, хотя Trezor заявил, что кошельки устойчивы к этому.
Известно, что в ноябре 2018 года сама компания Trezor предупреждала,что неизвестная третья сторона распространяет копии своего флагманского устройства Trezor One. Поддельные устройства, казалось, происходили из Китая и поэтому компания призывала покупать кошельки только с сайта компании.
В отчете, Ledger утверждает, что пользователи не могут быть уверены, даже если они покупают оборудование на официальном сайте Trezor, ведь злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger предполагает, что в случае повторной продажи скомпрометированного устройства, криптовалюты пользователя могут быть украдены.
(2 оценок, среднее: 5,00 из 5)
Загрузка...
Криптоинвестор. Аналитик блокчейн- проектов.
