Взлом аппаратных кошельков Ledger и Trezor, видео демонстрация уязвимостей

Wallet.fail, базирующаяся в Берлине команда исследователей безопасности, провела ряд успешных атак физического плана на популярные аппаратные устройства от Trezor и Ledger.

Во время презентации на 35-м Конгрессе Chaos Communication в Лейпциге, Джош Датко, Дмитрий Недоспасов и Томас Рот успешно продемонстрировали серию различных атак на популярные аппаратные кошельки Trezor и Ledger.

Уязвимости, которые были представлены, варьируются от тех, которые могут быть исправлены при обновлении прошивки, до ошибок, которые потребуют новой версии оборудования, докладывает Bitsonline.

compromising the bootloader to run snake ? ? pic.twitter.com/AUNzR0HGar

— Afri ?️ (@5chdn) 27 декабря 2018 г.

В частности, некоторые из продемонстрированных эксплойтов включали следующее:

• Получение ПИН-кода и мнемонической фразы из Trezor RAM;
• Подписание транзакций удаленно через скомпрометированную Ledger Nano S;
• Перехват Ledger Blue PIN;
• Компрометирующая загрузка Ledger Nano S.

Кроме того, исследователи выделили пять отдельных жанров уязвимостей, которыми можно воспользоваться во время атак на аппаратный кошелек, а именно:

• Архитектурные;
• Прошивки;
• Аппаратные;
• Физические;
• Программные;

Отсюда, в индустрии аппаратных криптокошельков, наверняка произойдет переоценка ценностей. Хорошей новостью, конечно, является то, что среднестатистические пользователи, вероятно, никогда не столкнутся с такими атаками, потому что злоумышленники просто не будут иметь физического доступа к устройствам в большинстве случаев.

With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we’ll be addressing them via a firmware update at the end of January.

— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) 28 декабря 2018 г.

Комментируя ситуацию, CTO в SatoshiLabs, компании ответственной за Trezor написал в своём твиттере, что они не были проинформированы об ошибках заранее, поэтому они узнали о них со сцены. Он также добавил, что устранение проблем будет осуществлено через обновление прошивки в конце января.

Ledger дали развернутый комментарии по поводу информации об уязвимости их устройств.

Поделитесь вашим мнением по данному вопросу в комментариях ниже.

The following two tabs change content below.

• Автор материала
• Последние новости мира криптовалют

Mining-Cryptocurrency.ru

Материал подготовлен редакцией сайта "Майнинг Криптовалюты", в составе: Главный редактор - Антон Сизов, Журналисты - Игорь Лосев, Виталий Воронов, Дмитрий Марков, Елена Карпина. Мы предоставляем самую актуальную информацию о рынке криптовалют, майнинге и технологии блокчейн.

Новости Mining-Cryptocurrency.ru (перейти к ленте всех новостей)

• Bloomberg: метрики биткоина указывают на недооцененность, реальная цена BTC $15 000 - 24.09.2020
• Глава Social Capital включил биткоин в число «крупнейших инвестиций» компании - 24.09.2020
• Криптобиржа Huobi зaпуcтилa мoбильнoe пpилoжeниe для пользователей из России - 24.09.2020
• Monabey — платформа для обмена биткоина с партнерскими выплатами до 90% - 24.09.2020
• Банки США получили разрешение хранить средства для обеспечения стейблкоинов - 23.09.2020