Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

smallkeys
smallkeys

Ведущий производитель криптовалютных аппаратных кошельков Ledger рассказал об уязвимостях, выявленных в устройствах своего прямого конкурента Trezor. Об этом говорится в сообщении, распространенном французской компанией в понедельник, 11 марта.

В исследовании Ledger говорится, что уязвимости были обнаружены сотрудниками Attack Lab, подразделения компании, которое для повышения безопасности занимается взломом как собственных кошельков, так и устройств конкурентов. Представители Ledger заявляют, что неоднократно обращались к Trezor касательно слабых мест в их кошельках Trezor One и Trezor T, и после окончания периода раскрытия информации решили сделать их достоянием общественности.

Первая проблема связана с аутентичностью устройств. Как заявляет Ledger, устройство Trezor можно имитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатав в коробке, подделав предназначенную для защиты от несанкционированного доступа наклейку. Последнюю, говорит французская компания, легко удалить. Также утверждается, что эту уязвимость можно устранить только путем переформатирования всего дизайна кошельков Trezor, в частности, посредством замены одного из основных компонентов на чип Secure Secure.

Во-вторых, хакеры Ledger смогли подобрать PIN-код на кошельке Trezor с помощью атаки по стороннему каналу, о чем сообщили Trezor в конце ноября 2018 года. Позже компания решила эту проблему в своем обновлении прошивки 1.8.0.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройствах.

Последняя обнаруженная слабость также связана с моделью безопасности Trezor: как заявляет Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Утверждается, что хакер с физическим доступом к устройству может извлечь секретный ключ посредством атаки по стороннему каналу, хотя Trezor и заявлял, что его кошельки к такой атаке устойчивы.

Примечательно, что в ноябре 2018 года представители Trezor сами предупредили, что неизвестная третья сторона распространяет индивидуальные копии своего флагманского устройства Trezor One, призвав пользователей покупать кошельки только через свой официальный сайт.

Однако в своем отчете Ledger утверждает, что пользователи не могут быть уверены, даже если они покупают оборудование на сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Исследователи Ledger заключают, что в случае повторной продажи скомпрометированного устройства пользовательские криптовалюты могут быть украдены.

Напомним, в декабре киберспециалисты из Wallet.fail обнаружили ряд уязвимостей в устройствах как Trezor, так и Ledger, сумев провести серию успешных атак. В ответ на это представители Ledger заявили, что выводы исследователей не соответствуют действительности. В свою очередь Trezor заявил, что признал наличие уязвимости, однако подчеркнул, что для того, чтобы ей воспользоваться, злоумышленнику необходимо иметь физический доступ к устройству жертвы.

Последние выводы Ledger представители Trezor пока не прокомментировали.

Подписывайтесь на новости Forklog в Facebook!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK