Уязвимости в аппаратных криптовалютных кошельках Trezor

Производитель аппаратных кошельков Ledger раскрыл уязвимости своего конкурента Trezor

Крупнейших производителей аппаратных кошельков Ledger, опубликовал отчёт, в котором публично раскрыл уязвимости в устройствах своего главного конкурента Trezor, о чём сообщил Cointelegraph.

В исследовании говорится, что уязвимости были обнаружены Attack Lab, подразделении компании, которое взламывает как собственные устройства, так и устройства конкурентов для повышения безопасности.

По утверждениям Ledger, они неоднократно обращались к Trezor по поводу слабых мест в Trezor One и Trezor T, решив обнародовать их после окончания периода раскрытия информации.

Первая проблема связана с оригинальностью, где устройство Trezor можно имитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатать в коробке, подделав защищенную от несанкционированного доступа наклейку, которую, как сообщается, легко удалить. Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor.
Во-вторых, хакеры Ledger нашли способ получить PIN-код кошелька Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позднее компания решила эту проблему в своем обновлении прошивки 1.8.0.
Следующая уязвимость, которую Ledger предлагает устранить, заменив основной компонент микросхемой Secure Element, заключается в возможности кражи конфиденциальных данных с устройства, утверждая, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.
Последняя обнаруженная слабость заключается в том, что Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь приватный ключ посредством атаки по побочному каналу, хотя Trezor заявил, что кошельки устойчивы к этому.

Известно, что в ноябре 2018 года сама компания Trezor предупреждала,что неизвестная третья сторона распространяет копии своего флагманского устройства Trezor One. Поддельные устройства, казалось, происходили из Китая и поэтому компания призывала покупать кошельки только с сайта компании.

В отчете, Ledger утверждает, что пользователи не могут быть уверены, даже если они покупают оборудование на официальном сайте Trezor, ведь злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger предполагает, что в случае повторной продажи скомпрометированного устройства, криптовалюты пользователя могут быть украдены.

Дата публикации 12.03.2019
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.

Автор материала
Последние новости мира криптовалют

Mining-Cryptocurrency.ru

Материал подготовлен редакцией сайта "Майнинг Криптовалюты", в составе: Главный редактор - Антон Сизов, Журналисты - Игорь Лосев, Виталий Воронов, Дмитрий Марков, Елена Карпина. Мы предоставляем самую актуальную информацию о рынке криптовалют, майнинге и технологии блокчейн. Отказ от ответственности: все материалы на сайте Mining-Cryptocurrency.ru имеют исключительно информативные цели и не являются торговой рекомендацией или публичной офертой к покупке каких-либо криптовалют или осуществлению любых иных инвестиций и финансовых операций.

Новости Mining-Cryptocurrency.ru (перейти к ленте всех новостей)