Trovata vulnerabilità nei portafogli hardware di Trezor

La risposta tardiva di Trezor dimostra che l’azienda ha molta fiducia nei propri clienti. Sfortunatamente, non è in grado di spiegare veramente quanto successo.

Lo sviluppatore di portafogli hardware Ledger ha preso sul suo blog l’11 marzo a schema cinque vulnerabilità che la società afferma di aver trovato in due modelli di portafoglio hardware dal concorrente di produzione Trezor. Le vulnerabilità sono state scoperte da Attack Lab, un dipartimento di Ledger che ha hackerato i propri portafogli e concorrenti per trovare eventuali problemi di sicurezza al fine di contribuire alla “responsabilità condivisa nel garantire un alto livello di sicurezza per l’intero settore”.

Secondo il post sul blog, le scoperte di Ledger riguardano il Trezor One e il Trezor Model T, anche se l’analisi si concentrava pesantemente su Trezor One. Il post chiarisce anche che Trezor è stato informato circa quattro mesi fa riguardo alle cinque vulnerabilità e che è stato quindi dato un “periodo di divulgazione responsabile” per correggere le vulnerabilità prima che Ledger pubblicasse la sua analisi.

Giudizio di Ledger

Il primo numero che Ledger prende in considerazione è la “genuinità” dei dispositivi Trezor. Nel suo post, la società afferma di essere stata in grado di fabbricare dispositivi falsi che erano esatti cloni dei portafogli Trezor. Sono stati anche in grado di aprire la scatola di un Trezor portafoglio, installa il malware che consente all’utente malintenzionato di avere il controllo completo sul codice in esecuzione sul dispositivo e quindi richiudere la scatola senza rompere l’adesivo anti-manomissione “volto a proteggere da tali attacchi”. Sebbene tutte le vulnerabilità siano state segnalate a Trezor, questo è l’unico che Ledger risponde a Trezor. Trezor ha affermato che “gli utenti non saranno esposti a questo problema se acquistano i loro prodotti direttamente dal sito Web di Trezor”.

Successivamente, Ledger dice che è stato in grado di indovinare il PIN del portafoglio utilizzando un attacco canale laterale che “consiste nel presentare un PIN casuale e quindi misurare il consumo energetico del dispositivo quando confronta il PIN presentato con il valore reale del PIN.” Il PIN consente agli utenti di accedere al dispositivo e ai fondi detenuti all’interno. Il post nota che questa vulnerabilità è stata corretta da Trezor in un aggiornamento del firmware. È l’unica vulnerabilità che Ledger indica è stata corretta.

La terza e la quarta vulnerabilità riguardano l’accesso fisico di un attaccante ai portafogli Trezor. Secondo Ledger, con l’accesso fisico, un utente malintenzionato può estrarre tutti i dati memorizzati nella memoria del portafoglio e quindi ottenere il controllo delle risorse memorizzate sul dispositivo. Ledger nota in modo specifico che questa vulnerabilità non può essere corretta e consiglia agli utenti di aggiungere una passphrase forte al proprio dispositivo.

L’ultima vulnerabilità delineata da Ledger ha a che fare con la funzione di moltiplicazione scalare dei wallet di Trezor. Secondo il post, la moltiplicazione scalare è la funzione principale per la firma delle transazioni, il che significa che gestisce la chiave privata dell’utente. Ledger ha scoperto che la funzione di moltiplicazione scalare era vulnerabile a un attacco di canale laterale, rendendo possibile estrarre la chiave dal portafoglio.

Risposta di Trezor

Dopo aver apparentemente incontrato il rapporto sulle vulnerabilità di Ledger con un po ‘di silenzio imbarazzante quattro mesi fa, Trezor ha pubblicato un inviare su Medium oggi, 12 marzo, spiegando che le vulnerabilità di Ledger non sono critiche portafogli hardware poiché richiedono tutti “accesso fisico al dispositivo, attrezzature specializzate, tempo e competenza tecnica”. Trezor continua stato ha rattoppato due delle vulnerabilità e ha riscontrato che il problema di moltiplicazione scalare non è sfruttabile dal momento che l’utente malintenzionato avrebbe bisogno del PIN. Per quanto riguarda le affermazioni contro la genuinità dei portafogli, Trezor stati c’è “nessuna soluzione al 100%” per mitigare questo tipo di attacco.

Sebbene il post di Trezor copra ciò che sta facendo o abbia fatto per prevenire i problemi di sicurezza e ringrazia Ledger per dimostrare le possibili debolezze nei suoi portafogli, la risposta dell’azienda nel suo insieme è disgiunta. Trezor afferma nel suo post che la perfetta sicurezza fisica è un obiettivo irraggiungibile, prendendo atto della possibilità di “$ 5 attacchi chiave” – ​​furti mirati in cui le vittime sono costrette a rivelare la propria password. Trezor afferma poi che con una frase forte e una comprensione della società principi di sicurezza operativa, “anche gli attacchi fisici presentati da Ledger non possono influenzare gli utenti di Trezor.” Tuttavia, Trezor prosegue ammettendo che se un utente malintenzionato ha avuto abbastanza tempo, denaro e risorse, “nessuna barriera hardware ostacolerà i loro attacchi”.

Nicholas Ruggieri ha studiato inglese con enfasi sulla scrittura creativa all’Università del Nevada, a Reno. Quando non sta citando Vines a nessuno che è disposto ad ascoltare, lo troverai ascoltando troppi podcast, leggendo troppi libri e uncinetto troppi maglioni per i suoi cani, RT e Peterman.

ETHNews si è impegnata per il suo Politica editoriale

Ti piace quello che leggi? Seguici su Twitter @ETHNews_ per ricevere le ultime notizie su Portafogli, Trezor o altri portafogli Ethereum.

.

Source link