Страницы

суббота, 29 декабря 2018 г.

Найдены эксплойты в кошельках Trezor и Ledger


Три эксперта из Wallet.fail провели тестирование известных аппаратных кошельков Trezor и Ledger и пришли к выводу, что они не безопасны из-за многочисленных эксплойтов. Результаты своего исследования они продемонстрировали на 35-м ежегодном Chaos Communication Congress в Лейпциге.

Уязвимости найдены в веб-интерфейсе, программном и аппаратном обеспечении, а также в прошивке. В общей сложности эксперты распознали четыре типа атак, с помощью которых можно было взломать эти кошельки.

Один из экспертов Джош Датко  показал, как легко можно подделать якобы защищенную упаковку кошелька Trezor. Для этого понадобится простое приспособление, собранное из деталей стоимостью всего $3.

Однако представитель компании, выпускающей Ledger, рассказал, что на коробке их кошелька нет защиты, поскольку «

криптографический механизм проверяет целостность внутреннего ПО устройства Ledger при каждом включении

». Он также добавил, что «

чип Secure Element предотвращает любые попытки перехвата или физической замены

».

Вместе с тем, у кошелька Ledger Nano S есть загрузчик «f00dbabe» (фрагмент кода, запускаемый до запуска операционной системы). Загрузчик дает уязвимость, которой может воспользоваться злоумышленник, обладающий техническими знаниями. Он может запустить вредоносный код еще до запуска остального ПО аппаратного кошелька.

Уязвимость на уровне чипа — наиболее очевидна: компрометация одного отдельного микроконтроллера означает компрометацию всего устройства. Хотя эта уязвимость исправлена на Trezor для одного вида атак, она все же остается открытой для других атак, утверждают исследователи.

Команда wallet.fail также пообещала опубликовать свои данные на своем веб-сайте и на GitHub.

Trezor Wallet презентовал новый интерфейс для эфира и токенов ERC20

Trezor объявил о возможности прямой конвертации криптовалют

Аппаратный кошелек Ledger Nano S теперь поддерживает Monero (XMR)

Комментариев нет:

Отправка комментария