- БИЗНЕС, ВСЁ О КРИПТОВАЛЮТАХ

Ledger обнаружил уязвимости в аппаратных кошельках Trezor

Производитель аппаратных кошельков Ledger опубликовал обнаруженные уязвимости в устройствах Trezor, своего основного конкурента.

Уязвимости были обнаружены в Attack Lab — отделе компании, который занимается взломом как собственных устройств, так и устройств конкурентов для повышения безопасности. Ledger утверждает, что неоднократно сообщал Trezor о слабых местах в их кошельках Trezor One и Trezor T. Теперь компания решила обнародовать их после окончания периода соглашения о нераспространении информации.

Первая проблема связана с оригинальностью устройств. По словам команды Ledger, устройство Trezor можно подделать, взломав его с помощью вредоносного ПО, а затем повторно запечатать его в коробке, подделав защищенную от несанкционированного доступа наклейку, которую легко удалить.

Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure.

Хакеры Ledger смогли раскрыть PIN-код на кошельках Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позже компания исправила эту уязвимость в своем обновлении 1.8.0.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флеш-памяти и получить контроль над активами, хранящимися на устройстве.

Последняя обнаруженная уязвимость также связана с моделью безопасности Trezor: согласно Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь закрытый ключ посредством атаки по побочному каналу, хотя Trezor подчёркивает, что его кошельки устойчивы к этому.

В 2018 году Trezor предупредил, что неизвестная третья сторона распространяет индивидуальные копии флагманского устройства копании Trezor One и призвала владельцев покупать кошельки только с сайта Trezor.

Однако в недавнем отчете Ledger утверждает, что пользователи не могут быть уверены в подлинности оборудования даже если они покупают его на официальном сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger заключает, что в случае повторной продажи такого устройства оно останется под контролем злоумышленника.В ноябре 2018 года исследовательская группа, стоящая за так называемым хакерским проектом Wallet.fail на конференции 35C3 Refreshing Memories продемонстрировала, как они взломали Trezor One, Ledger Nano S и Ledger Blue. Оба производителя аппаратных устройств признались в обнаруженных уязвимостях – при этом Trezor ответил, что обновление микропрограммы их устранит, а Ledger заявил, что они не являются критическими для его кошельков.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *