Ledger rivela cinque vulnerabilità segnalate in due modelli di portafogli hardware Trezor

Hardware principale portafogli fabbricante libro mastro ha svelato vulnerabilità nel suo diretto concorrente Trezor di dispositivi, secondo un rapporto pubblicato lunedì, marzo. 11.

Al momento della stampa, Trezor non era immediatamente disponibile per commentare le scoperte di Ledger.

Lo studio afferma che le vulnerabilità sono state scoperte da Attack Lab, il dipartimento della società che ha hackerato sia i propri dispositivi sia i dispositivi della concorrenza per migliorare sicurezza. Ledger afferma di aver ripetutamente rivolto a Trezor delle debolezze nei portafogli Trezor One e Trezor T, e ha deciso di renderle pubbliche dopo la chiusura del periodo di divulgazione responsabile.

Il primo problema è legato alla genuinità dei dispositivi. Secondo il team di Ledger, il dispositivo Trezor può essere imitato da backdooring del dispositivo con il malware e quindi sigillarlo nuovamente nella sua scatola fingendo un adesivo a prova di manomissione, che secondo come riferito è facile da rimuovere.

Ledger afferma che questa vulnerabilità può essere affrontata solo rimodellando il design dei portafogli Trezor e, in particolare, sostituendo uno dei componenti principali con un chip Secure Element.

In secondo luogo, gli hacker di Ledger presumibilmente hanno indovinato il valore del PIN su un portafoglio Trezor utilizzando un attacco di canale laterale e lo hanno segnalato a Trezor a fine novembre 2018. La società ha successivamente risolto il problema nel suo aggiornamento del firmware 1.8.0.

La terza e quarta vulnerabilità, che Ledger offre anche di risolvere sostituendo il componente principale con un chip Secure Element, consistono nella possibilità di rubare dati riservati dal dispositivo.

Ledger afferma che un utente malintenzionato con accesso fisico a Trezor One e Trezor T può estrarre tutti i dati dalla memoria flash e ottenere il controllo delle risorse memorizzate sul dispositivo.

L’ultima debolezza scoperta è anche legata al modello di sicurezza di Trezor: secondo Ledger, la libreria crittografica di Trezor One non contiene contromisure adeguate contro gli attacchi hardware. Il team afferma che un hacker con accesso fisico al dispositivo può estrarre la chiave segreta tramite un attacco canale laterale, sebbene Trezor abbia affermato che i suoi portafogli sono resistenti.

Nel novembre 2018, Trezor stesso messo in guardia che una terza parte sconosciuta stava distribuendo copie one-to-one del suo dispositivo Trezor One di punta.

I portafogli falsi sembravano originari della Cina, e la società ha quindi invitato i proprietari ad acquistare i portafogli solo dal sito Web di Trezor.

Tuttavia, nel recente rapporto, Ledger afferma che gli utenti non possono essere sicuri nemmeno quando acquistano hardware dal sito ufficiale di Trezor. L’utente malintenzionato potrebbe acquistare diversi dispositivi, backdoor e quindi inviarli al produttore per chiedere il rimborso. Nel caso in cui il dispositivo compromesso venga nuovamente venduto, i fondi crittografici dell’utente possono essere rubati, conclude Ledger.

Nel novembre 2018, il team di ricerca dietro al progetto di hacking Wallet.fail così soprannominato dimostrato come hanno hackerato Trezor One, Ledger Nano S e Ledger Blue alla conferenza 35C3 Refreshing Memories. Sia Trezor che Ledger hanno ammesso le vulnerabilità riscontrate – con Trezor rilevando che un aggiornamento del firmware li avrebbe indirizzati – ma anche Ledger aggiunto che non erano critici per i suoi portafogli.

Source link