Гроссбух раскрывает пять уязвимостей своего соперника; Аппаратный кошелек Trezor

ад-Мидбар
ад-Мидбар
ад-Мидбар
ад-Мидбар

Гроссбух раскрывает пять уязвимостей своего соперника; Аппаратный кошелек Trezor

Производитель оборудования Crypto, Ledger, выявил пять уязвимостей продукта своего конкурента. Об этом стало известно в отчете, опубликованном в марте 11.

Уязвимости аппаратных кошельков Трезора

В отчете Леджер отметил, что уязвимости были обнаружены в Attack Labs, отделе Ledger, который взламывает свое устройство, а также устройства конкурентов для повышения безопасности. Trezor неоднократно обращался к слабостям их Trezor One и кошельков Trezor T по главной книге, прежде чем решение о публичном раскрытии было достигнуто, как утверждается. Во время печати Трезор не был доступен, чтобы прокомментировать выводы книги.

Одной из уязвимостей является подлинность устройства. Команда Леджера отметила, что устройство Трезора можно имитировать, взломав устройство с помощью вредоносного ПО, а затем повторно запечатав его в коробке, подделав защищенную от несанкционированного доступа наклейку, которую, как сообщается, легко удалить. По словам Леджера, уязвимость может быть устранена только путем пересмотра конструкции кошельков Trezor и замены одного из основных компонентов чипом защищенных элементов.

Вторая отмеченная уязвимость - это угадывание значения PIN-кода на кошельке Trezor с использованием атаки по побочному каналу. Леджер заявил, что об этом Трезоре сообщили в конце ноября в 2018, что позже было решено в обновлении прошивки 1.8.0.

Третья и четвертая уязвимости влекут за собой возможность кражи конфиденциальных данных с устройства. Леджер отметил, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и иметь контроль над активами, хранящимися на устройстве. Леджер предлагает решить эту проблему, заменив основной компонент микросхемой Secure Element.

Наконец, пятая обнаруженная уязвимость кошелька Трезора связана с моделью безопасности. Леджер заявил, что криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Это означает, что хакер с физическим доступом к кошельку может извлечь секретный ключ посредством атаки по побочному каналу.

Открытый источник - не серебряная пуля

Недавно генеральный директор Twitter Джек Дорси приобрел кошелек Trezor для хранения биткойнов. Когда его спросили о причине выбора, он заявил, что выбрал Trezor из-за его инфраструктуры с открытым исходным кодом. В ответ на это Леджер заявил, что «модель безопасности аппаратного обеспечения довольно сложна, и предложение программного обеспечения с открытым исходным кодом не является серебряной пулей».

Очевидно, уязвимости заставили Леджера заявить об этом. Тем не менее, крипто-пространство все еще ожидает ответа от команды Трезора.

Источник

Объявление дно
Объявление дно
Объявление дно
Объявление дно

БЕЗ КОММЕНТАРИЕВ