Домой >> Новости >> Ledger публично раскрыл уязвимости Trezor

Ledger публично раскрыл уязвимости Trezor

Ledger публично раскрыл уязвимости Trezor

Согласно опубликованному отчёту, один из крупнейших производителей аппаратных кошельков, Ledger, публично раскрыл уязвимости в устройствах своего конкурента Trezor, о чём сообщил Cointelegraph.

В исследовании говорится, что уязвимости были обнаружены Attack Lab, подразделении компании, которое взламывает как собственные устройства, так и устройства конкурентов для повышения безопасности. По утверждениям Ledger,  они неоднократно обращались к Trezor по поводу слабых мест в Trezor One и Trezor T, решив обнародовать их после окончания периода раскрытия информации.

Первая проблема связана с оригинальностью, где устройство Trezor можно имитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатать в коробке, подделав защищенную от несанкционированного доступа наклейку, которую, как сообщается, легко удалить. Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor.

Во-вторых, хакеры Ledger нашли способ получить PIN-код кошелька Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позднее компания решила эту проблему в своем обновлении прошивки 1.8.0.

Следующая уязвимость, которую Ledger предлагает устранить, заменив основной компонент микросхемой Secure Element, заключается в возможности кражи конфиденциальных данных с устройства, утверждая, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.

Последняя обнаруженная слабость заключается в том, что Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь приватный ключ посредством атаки по побочному каналу, хотя Trezor заявил, что кошельки устойчивы к этому.

Известно, что в ноябре 2018 года сама компания Trezor предупреждала,что неизвестная третья сторона распространяет копии своего флагманского устройства Trezor One. Поддельные устройства, казалось, происходили из Китая и поэтому компания призывала покупать кошельки только с сайта компании.

В отчете, Ledger утверждает, что пользователи не могут быть уверены, даже если они покупают оборудование на официальном сайте Trezor, ведь злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger предполагает, что в случае повторной продажи скомпрометированного устройства, криптовалюты пользователя могут быть украдены.

Ledger публично раскрыл уязвимости Trezor

Смотрите также

Запуск биржи Rakuten Wallet состоится в апреле

Агентство финансовых услуг Японии (FSA) зарегистрировало биткоин-биржу местного ритейл-гиганта Rakuten. Запуск новой площадки Rakuten Wallet …

Добавить комментарий