Gigabyte выпускает..

Компания Gigabyte объявила о выпуске новой компактной видеокарты GTX 970, которая получила номер..


» » Ledger обнаружил уязвимости в аппаратных кошельках Trezor


Ledger обнаружил уязвимости в аппаратных кошельках Trezor


12-03-2019, 06:45 криптовалюта » Ledger обнаружил уязвимости в аппаратных кошельках Trezor


Ledger обнаружил уязвимости в аппаратных кошельках Trezor

Уязвимости были обнаружены в Attack Lab - отделе компании, который занимается взломом как собственных устройств, так и устройств конкурентов для повышения безопасности. Ledger утверждает, что неоднократно сообщал Trezor о слабых местах в их кошельках Trezor One и Trezor T. Теперь компания решила обнародовать их после окончания периода соглашения о нераспространении информации.

Первая проблема связана с оригинальностью устройств. По словам команды Ledger, устройство Trezor можно подделать, взломав его с помощью вредоносного ПО, а затем повторно запечатать его в коробке, подделав защищенную от несанкционированного доступа наклейку, которую легко удалить.

Ledger утверждает, что эту уязвимость можно устранить только путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure.

Хакеры Ledger смогли раскрыть PIN-код на кошельках Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позже компания исправила эту уязвимость в своем обновлении 1.8.0.

Третья и четвертая уязвимости, которые Ledger также предлагает устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальных данных с устройства. Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флеш-памяти и получить контроль над активами, хранящимися на устройстве.

Последняя обнаруженная уязвимость также связана с моделью безопасности Trezor: согласно Ledger, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Команда утверждает, что хакер с физическим доступом к устройству может извлечь закрытый ключ посредством атаки по побочному каналу, хотя Trezor подчёркивает, что его кошельки устойчивы к этому.

В 2018 году Trezor предупредил, что неизвестная третья сторона распространяет индивидуальные копии флагманского устройства копании Trezor One и призвала владельцев покупать кошельки только с сайта Trezor.

Однако в недавнем отчете Ledger утверждает, что пользователи не могут быть уверены в подлинности оборудования даже если они покупают его на официальном сайте Trezor. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger заключает, что в случае повторной продажи такого устройства оно останется под контролем злоумышленника.

В ноябре 2018 года исследовательская группа, стоящая за так называемым хакерским проектом Wallet.fail на конференции 35C3 Refreshing Memories продемонстрировала, как они взломали Trezor One, Ledger Nano S и Ledger Blue. Оба производителя аппаратных устройств признались в обнаруженных уязвимостях – при этом Trezor ответил, что обновление микропрограммы их устранит, а Ledger , что они не являются критическими для его кошельков.

Источник







Также читайте: 

Похожие новости
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.