Разработчики Ledger и Trezor прокомментировали информацию об уязвимостях в своих аппаратных кошельках
Производители популярных аппаратных кошельков для хранения биткоина и других криптовалют Ledger и Trezor опубликовали официальные заявления, в которых ответили на информацию о том, что исследователям wallet.fail предположительно удалось выявить несколько векторов атак на их устройства.
Так, французская компания Ledger заявила, что хотя исследователи и указали три вектора атаки, которые создают впечатление, что в устройствах присутствуют критические уязвимости, это не соответствует действительности.
Yesterday, the https://t.co/qbY5avXAsw team held a presentation on potential vulnerabilities of hardware wallets. While the attacks shown on Ledger devices were not of a practical nature, we would like to provide you with some more insight
Read more here: https://t.co/jqHnJVzeU9
— Ledger (@LedgerHQ) December 28, 2018
«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены. Причин для беспокойства нет: ваши криптовалютные активы по-прежнему находятся в безопасности», — говорится в блоге Ledger.
Напомним, что команда Wallet.fail утверждала ровно обратное: по ее заявлению, исследователям удалось извлечь PIN-код и мнемоническое ядро из RAM Trezor, удаленно подписать транзакцию и взломать загрузчик Ledger Nano S, а также перехватить PIN-код Ledger Blue.
Тем не менее разработчики Ledger назвали «непрактичной» физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода.
«Мотивированный хакер определенно использовал бы более эффективные приемы, например, установка камеры для фиксации PIN-кода в момент его ввода пользователем», — говорят представители Ledger.
Производитель также настаивает, что получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая вдобавок предполагает, что хакер вынужден ожидать инициацию транзакции самим пользователем. Не исключая, что в теории такой сценарий возможен, его воплощения в жизни команда Ledger не видит.
Исследователи Wallet.fail также заявили, что установили собственную прошивку на микропроцессор. По мнению Ledger, такой сценарий действительно позволяет перевести устройство в режим отладки, однако этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.
«Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг», — заявляет Ledger.
Французская компания также прокомментировала извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».
«Эта атака определенно интересна, он она не позволяет извлечь PIN-код в реальных условиях. Для этого сценария нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, будет проще установить камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем», — заключили разработчики.
Ledger также раскритиковал команду Wallet.fail за то, что та решила показать уязвимости публично вместо того, чтобы обратится к баунти-программе по отлову багов.
«Ответственное раскрытие [уязвимостей] – это лучшая практика, которой необходимо следовать, чтобы защитить пользователей и повысить безопасность наших продуктов», — заявили в Ledger.
Trezor: продолжайте пользоваться вашими устройствами
Тем временем базирующийся в Праге производитель кошельков Trezor признал наличие уязвимости, однако подчеркнул, что для того, чтобы ей воспользоваться, злоумышленнику необходимо иметь физический доступ к устройству жертвы.
Please keep in mind that this is a physical vuln. An attacker would need physical access to your device, specifically to the board—breaking the case.
If you have physical control over your Trezor, you can keep on using it, and this vulnerability is not a threat to you.
— Trezor (@Trezor) December 28, 2018
Для обеспокоенных вопросами безопасности пользователей, напоминает компания, есть функция «passphrase», но потеря этой ключевой фразы приведет к потере средств.
Напомним, минувшим летом компания Ledger заявила, что только в 2017 году продала более миллиона своих мультивалютных аппаратных криптокошельков, заработав в совокупности $29 млн.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Live — вся лента новостей, ForkLog — самые важные новости и опросы.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!