اخبار

لجر پنج آسیب پذیری در دو مدل کیف پول سخت افزاری Trezor را افشا می کند

طبق گزارش منتشر شده در روز دوشنبه، ۱۱ مارس، لجر (Ledger ) تولید کننده کیف پول سخت افزار اصلی، آسیب پذیری های خود را در دستگاه های رقیب خود (Trezor ) اعلام کرده است.

در زمان نگارش این خبر، هنوز هیچ پاسخی از سوی ترزور در مورد صحت یافته‌های لجر به دست نرسیده است.

در مطالعه انجام شده مشخص شده است که آسیب پذیری ها توسط آزمایشگاه Attack Lab به دست آمده است. اتک‌لب بخشی از شرکت لجر است که در آن به دستگاه‌های خود و همچنین رقبایشان نفوذ می‌کنند تا عملکرد آن‌ها را از نظر امنیتی بهبود بخشند. که به دستگاه های خود و رقبا برای بهبود امنیت دسترسی پیدا می کند، یافت شده است. Ledger ادعا می کند به Trezor به طور مکرر در مورد نقاط ضعف در Trezor One و Trezor T هشدار داده است و تصمیم گرفته است پس از پایان دوره افشاگری مسئول، آنها را به صورت عمومی منتشر کند.

اولین آسیب مربوط به تایید اصالت دستگاه است. با توجه به گفته های  تیم Ledger، دستگاه Trezor را می توان با انداختن در پشتی (Backdoor )  در دستگاه همانند بدافزارها و سپس دوباره آن را با استفاده از جعل برچسب ضد جعل، که به نظر می رسد برداشتن آن  آسان است در جعبه خود استفاده کرد. لجر می گوید که این آسیب پذیری تنها می تواند با بازنگری در طراحی کیف پول Trezor و به ویژه با جایگزینی یکی از اجزای اصلی با یک تراشه عنصر امن مورد توجه قرار گیرد.

در آسیب دوم، هکرهای Ledger گزارش داده اند ارزش پین را در کیف پول Trezor با استفاده از یک حمله جانبی کنار گذاشته اند و در اواخر نوامبر ۲۰۱۸ آن را به Trezor گزارش دادند. این شرکت بعدا این مشکل را در بروز رسانی نسخه ۱.۸.۰ نرم افزار خود حل کرد.

آسیب پذیری های سوم و چهارم که Ledger همچنین پیشنهاد می دهد با جایگزینی مولفه اصلی با تراشه Element Secure، از امکان سرقت اطلاعات محرمانه از دستگاه جلوگیری شود. لجر می گوید که یک مهاجم با دسترسی فیزیکی به Trezor One و Trezor T می تواند تمام داده های حافظه فلش را استخراج و کنترل دارایی های ذخیره شده در دستگاه را کنترل کند.

آخرین ضعف کشف شده نیز مربوط به مدل امنیتی Trezor است: طبق گفته لجر، کتابخانه رمزنگاری Trezor One شامل اقدامات مناسب در برابر حملات سخت افزاری نیست. این تیم ادعا می کند که یک هکر با دسترسی فیزیکی به دستگاه می تواند کلید رمز را از طریق حمله کانال های جانبی استخراج کند، گرچه Trezor ادعا می کند که کیف پول آن به آن مقاوم است.

در نوامبر ۲۰۱۸، Trezor خود را هشدار داد که شخص ثالث ناشناخته توزیع نسخه های یک به یک از پرچمدار خود را Trezor One دستگاه است. به نظر میرسد که کیف پول جعلی از چین گرفته شده است، و این شرکت از صاحبان آنها خواسته است فقط کیف پول را از وب سایت Trezor خریداری کنند.

با این حال، در گزارش اخیر، لجر ادعا می کند که کاربران حتی در هنگام خرید سخت افزار از وب سایت رسمی Trezor نمی توانند مطمئن باشند. مهاجم احتمالا می تواند چندین دستگاه را خریداری کند و آنها را به عقب برگرداند و سپس آنها را به تولید کننده بازگردانند و درخواست بازپرداخت را بدهند. در صورتی که دستگاه به خطر افتاده دوباره به فروش برسد، بودجه رمزنگاری کاربر میتواند به سرقت رفته باشد، نتیجه گیری Ledger.

در ماه نوامبر سال ۲۰۱۸، تیم تحقیقاتی که در پشت پرونده هک کردن Wallet.fail به اصطلاح خوانده شده بود، نشان داد چگونه آنها Trezor One، Ledger Nano S و Ledger Blue را در کنفرانس ۳۵C3 Memories Refreshing Memories هک کردند. هر دو شرکت  ترزور و لجر  آسیب پذیری هایی که به دست آمده اند را پذیرفته اند. ترزور اشاره می کند که بروزرسانی سیستم عامل به آنها پاسخ خواهد داد اما لجر همچنین اضافه کرد که این آسیب ها برای کیف پول هایشان مهم نیستند.

برچسب ها

نوشته های مشابه

بستن