Wallet.fail, що базується в Берліні команда дослідників безпеки, провела ряд успішних атак фізичного плану на популярні апаратні пристрої від Trezor і Ledger.
Під час презентації на 35-му Конгресі Chaos Communication у Лейпцигу, Джош Датко, Дмитро Недоспасов і Томас Рот успішно продемонстрували серію різних атак на популярні апаратні гаманці Trezor і Ledger.
Уразливості, які були представлені, варіюються від тих, які можуть бути виправлені при оновленні прошивки, до помилок, які вимагатимуть нової версії обладнання, доповідає Bitsonline.
compromising the bootloader to run snake ? ? pic.twitter.com/AUNzR0HGar
— Afri ?️ (@5chdn) 27 грудня 2018 р.
Зокрема, деякі з продемонстрованих експлойтів включали наступне:
- Отримання ПІН-коду і мнемонічної фрази з Trezor RAM;
- Підписання транзакцій віддалено через скомпрометовану Ledger Nano S;
- Перехоплення Ledger Blue PIN;
- Компрометуюча завантаження Ledger Nano S.
Крім того, дослідники виділили п’ять окремих жанрів вразливостей, якими можна скористатися під час атак на апаратний гаманець, а саме:
- Архітектурні;
- Прошивки;
- Апаратні;
- Фізичні;
- Програмні;
Звідси, в індустрії апаратних криптокошельков, напевно відбудеться переоцінка цінностей. Доброю новиною, звичайно, є те, що середньостатистичні користувачі, ймовірно, ніколи не зіткнуться з такими атаками, тому що зловмисники просто не будуть мати фізичного доступу до пристроїв у більшості випадків.
With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we’ll be addressing them via a firmware update at the end of January.
— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) 28 грудня 2018 р.
Коментуючи ситуацію, CTO в SatoshiLabs, компанії відповідальною за Trezor написав у своєму твіттері, що вони не були проінформовані про помилки заздалегідь, тому вони дізналися про них зі сцени. Він також додав, що усунення проблем буде здійснено через оновлення прошивки в кінці січня.
Ledger дали розгорнутий коментарі з приводу інформації про уразливості їх пристроїв.
Поділіться вашою думкою з цього питання у коментарях нижче.
Be First to Comment