Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

Ведущий производитель криптовалютных аппаратных кошельков Ledger рассказал об уязвимостях, выявленных в устройствах своего прямого конкурента Trezor.

Об этом говорится в сообщении, распространенном французской компанией в понедельник, 11 марта.

В исследовании Ledger говорится, что уязвимости были обнаружены сотрудниками Attack Lab, подразделения компании, которое для повышения безопасности занимается взломом как собственных кошельков, так и устройств конкурентов.

Представители Ledger заявляют, что неоднократно обращались к Trezor касательно слабых мест в их кошельках Trezor One и Trezor T, и после окончания периода раскрытия информации решили сделать их достоянием общественности.

Первая проблема связана с аутентичностью устройств. Как заявляет Ledger, устройство Trezor можно имитировать, взломав его с помощью вредоносного ПО, а затем повторно запечатав в коробке, подделав предназначенную для защиты от несанкционированного доступа наклейку.

Последнюю, говорит французская компания, легко удалить. Также утверждается, что эту уязвимость можно устранить только путем переформатирования всего дизайна кошельков Trezor, в частности, посредством замены одного из основных компонентов на чип Secure Secure.

Во-вторых, хакеры Ledger смогли подобрать PIN-код на кошельке Trezor с помощью атаки по стороннему каналу, о чем сообщили Trezor в конце ноября 2018 года.

Позже компания решила эту проблему в своем обновлении прошивки 1.8.0.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства.

Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройствах.

Последняя обнаруженная слабость также связана с моделью безопасности Trezor: как заявляет Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак.

Утверждается, что хакер с физическим доступом к устройству может извлечь секретный ключ посредством атаки по стороннему каналу, хотя Trezor и заявлял, что его кошельки к такой атаке устойчивы.

Примечательно, что в ноябре 2018 года представители Trezor сами предупредили, что неизвестная третья сторона распространяет индивидуальные копии своего флагманского устройства Trezor One, призвав пользователей покупать кошельки только через свой официальный сайт.

Однако в своем отчете Ledger утверждает, что пользователи не могут быть уверены, даже если они покупают оборудование на сайте Trezor.

Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации.

Исследователи Ledger заключают, что в случае повторной продажи скомпрометированного устройства пользовательские криптовалюты могут быть украдены.

Напомним, в декабре киберспециалисты из Wallet.fail обнаружили ряд уязвимостей в устройствах как Trezor, так и Ledger, сумев провести серию успешных атак.

В ответ на это представители Ledger заявили, что выводы исследователей не соответствуют действительности.

В свою очередь Trezor заявил, что признал наличие уязвимости, однако подчеркнул, что для того, чтобы ей воспользоваться, злоумышленнику необходимо иметь физический доступ к устройству жертвы.

Последние выводы Ledger представители Trezor пока не прокомментировали.

Источник: forklog.com



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх