Разработчики Ledger и Trezor прокомментировали информацию об уязвимостях в своих аппаратных кошельках

Производители популярных аппаратных кошельков для хранения биткоина и других криптовалют Ledger и Trezor опубликовали официальные заявления, в которых ответили на информацию о том, что исследователям wallet.fail предположительно удалось выявить несколько векторов атак на их устройства.

Так, французская компания Ledger заявила, что хотя исследователи и указали три вектора атаки, которые создают впечатление, что в устройствах присутствуют критические уязвимости, это не соответствует действительности.

«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены. Причин для беспокойства нет: ваши криптовалютные активы по-прежнему находятся в безопасности», — говорится в блоге Ledger.

Напомним, что команда Wallet.fail утверждала ровно обратное: по ее заявлению, исследователям удалось извлечь PIN-код и мнемоническое ядро из RAM Trezor, удаленно подписать транзакцию и взломать загрузчик Ledger Nano S, а также перехватить PIN-код Ledger Blue.

Тем не менее разработчики Ledger назвали «непрактичной» физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода.

«Мотивированный хакер определенно использовал бы более эффективные приемы, например, установка камеры для фиксации PIN-кода в момент его ввода пользователем», — говорят представители Ledger.

Производитель также настаивает, что получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая вдобавок предполагает, что хакер вынужден ожидать инициацию транзакции самим пользователем. Не исключая, что в теории такой сценарий возможен, его воплощения в жизни команда Ledger не видит.

Исследователи Wallet.fail также заявили, что установили собственную прошивку на микропроцессор. По мнению Ledger, такой сценарий действительно позволяет перевести устройство в режим отладки, однако этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.

«Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг», — заявляет Ledger.

Французская компания также прокомментировала извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».

«Эта атака определенно интересна, он она не позволяет извлечь PIN-код в реальных условиях. Для этого сценария нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, будет проще установить камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем», — заключили разработчики.

Ledger также раскритиковал команду Wallet.fail за то, что та решила показать уязвимости публично вместо того, чтобы обратится к баунти-программе по отлову багов.

«Ответственное раскрытие [уязвимостей] – это лучшая практика, которой необходимо следовать, чтобы защитить пользователей и повысить безопасность наших продуктов», — заявили в Ledger.

Trezor: продолжайте пользоваться вашими устройствами

Тем временем базирующийся в Праге производитель кошельков Trezor признал наличие уязвимости, однако подчеркнул, что для того, чтобы ей воспользоваться, злоумышленнику необходимо иметь физический доступ к устройству жертвы.

Для обеспокоенных вопросами безопасности пользователей, напоминает компания, есть функция «passphrase», но потеря этой ключевой фразы приведет к потере средств.

Напомним, минувшим летом компания Ledger заявила, что только в 2017 году продала более миллиона своих мультивалютных аппаратных криптокошельков, заработав в совокупности $29 млн.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Live — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version