Ledger обнаружил уязвимости в аппаратных кошельках Trezor

HashFlare

ComputerUniverse Введи промокод FW7FRUX при покупке и получи скидку 5 евро

Производитель аппаратных кошельков Ledger опубликовал обнаруженные уязвимости в устройствах Trezor, своего основного конкурента.


Уязвимости были обнаружены в Attack Lab — отделе компании, который занимается взломом как собственных устройств, так и устройств конкурентов для повышения безопасности. Ledger утверждает, что неоднократно сообщал Trezor о слабых местах в их кошельках Trezor One и Trezor T. Теперь компания решила обнародовать их после окончания периода соглашения о нераспространении информации.

Первая проблема связана с оригинальностью устройств. По словам команды Ledger, устройство Trezor можно подделать, взломав его с помощью вредоносного ПО, а затем повторно запечатать его в коробке, подделав защищенную от несанкционированного доступа наклейку, которую легко удалить.

Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure.

Хакеры Ledger смогли раскрыть PIN-код на кошельках Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позже компания исправила эту уязвимость в своем обновлении 1.8.0.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флеш-памяти и получить контроль над активами, хранящимися на устройстве.

Последняя обнаруженная уязвимость также связана с моделью безопасности Trezor: согласно Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь закрытый ключ посредством атаки по побочному каналу, хотя Trezor подчёркивает, что его кошельки устойчивы к этому.

В 2018 году Trezor предупредил, что неизвестная третья сторона распространяет индивидуальные копии флагманского устройства копании Trezor One и призвала владельцев покупать кошельки только с сайта Trezor.

Однако в недавнем отчете Ledger утверждает, что пользователи не могут быть уверены в подлинности оборудования даже если они покупают его на официальном сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger заключает, что в случае повторной продажи такого устройства оно останется под контролем злоумышленника.

В ноябре 2018 года исследовательская группа, стоящая за так называемым хакерским проектом Wallet.fail на конференции 35C3 Refreshing Memories продемонстрировала, как они взломали Trezor One, Ledger Nano S и Ledger Blue. Оба производителя аппаратных устройств признались в обнаруженных уязвимостях – при этом Trezor ответил, что обновление микропрограммы их устранит, а Ledger заявил, что они не являются критическими для его кошельков.

Подписывайтесь на BitNovosti в Telegram!

Делитесь вашим мнением об этой новости в комментариях ниже.

Источник

Ledger обнаружил уязвимости в аппаратных кошельках Trezor