Wallet.fail, базирующаяся в Берлине команда исследователей безопасности, провела ряд успешных атак физического плана на популярные аппаратные устройства от Trezor и Ledger.
Во время презентации на 35-м Конгрессе Chaos Communication в Лейпциге, Джош Датко, Дмитрий Недоспасов и Томас Рот успешно продемонстрировали серию различных атак на популярные аппаратные кошельки Trezor и Ledger.
Уязвимости, которые были представлены, варьируются от тех, которые могут быть исправлены при обновлении прошивки, до ошибок, которые потребуют новой версии оборудования, докладывает Bitsonline.
compromising the bootloader to run snake 🐍 😁 pic.twitter.com/AUNzR0HGar
— Afri 🌩️ (@5chdn) 27 декабря 2018 г.
В частности, некоторые из продемонстрированных эксплойтов включали следующее:
- Получение ПИН-кода и мнемонической фразы из Trezor RAM;
- Подписание транзакций удаленно через скомпрометированную Ledger Nano S;
- Перехват Ledger Blue PIN;
- Компрометирующая загрузка Ledger Nano S.
Кроме того, исследователи выделили пять отдельных жанров уязвимостей, которыми можно воспользоваться во время атак на аппаратный кошелек, а именно:
- Архитектурные;
- Прошивки;
- Аппаратные;
- Физические;
- Программные;
Отсюда, в индустрии аппаратных криптокошельков, наверняка произойдет переоценка ценностей. Хорошей новостью, конечно, является то, что среднестатистические пользователи, вероятно, никогда не столкнутся с такими атаками, потому что злоумышленники просто не будут иметь физического доступа к устройствам в большинстве случаев.
With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we’ll be addressing them via a firmware update at the end of January.
— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) 28 декабря 2018 г.
Комментируя ситуацию, CTO в SatoshiLabs, компании ответственной за Trezor написал в своём твиттере, что они не были проинформированы об ошибках заранее, поэтому они узнали о них со сцены. Он также добавил, что устранение проблем будет осуществлено через обновление прошивки в конце января.
Ledger дали развернутый комментарии по поводу информации об уязвимости их устройств.
Поделитесь вашим мнением по данному вопросу в комментариях ниже.
