Перейти к публикации
sashka_somik

Trezor опровергает обвинения в аппаратной уязвимости своих кошельков

Рекомендованные сообщения

180817_trezor-nazval-obvineniya-v-uyazvi

 

В июле этого года на всемирно известной конференции хакеров Def Con 25 была проведена презентация, демонстрирующая уязвимости аппаратного кошелька Trezor. На ней инженеры компании Cryptotronix, Джош Датко (Josh Datko) и Крис Картье (Chris Quartier) показали взлом аппаратного кошелька Trezor через уязвимость микроконтроллера.

 

На днях производитель Trezor выпустил новую прошивку, устраняющую уязвимость в системе безопасности. Оператор кошелька отмечает, что баг исправлен, и что те, кто утверждает, что аппаратный кошелек поддается взлому на аппаратном уровне, попросту хотят посеять панику среди пользователей.

 

180817_trezor-nazval-obvineniya-v-uyazvi

 

На этой неделе владельцы аппаратных кошельков взбудоражились, когда компания Satoshi Labs опубликовала заявление, в котором говорилось о выпуске «прошивки для обновления системы безопасности». В блоге поясняется, что была обнаружена уязвимость, которая затронула все модели. Обновление не является обязательным, но компания рекомендует всем пользователям обновить свои устройства. Кроме того, в записи отмечается, что злоумышленники могли бы воспользоваться обнаруженной уязвимостью только в том случае, если бы они физически завладели аппаратным кошельком и имели бы время на то, чтобы его разобрать.

 

«Важно отметить, что речь не идет об удаленной атаке», - объясняет Satoshi Labs, производитель кошельков Trezor. 

 

«Чтобы воспользоваться этой уязвимостью, злоумышленнику нужен физический доступ к разобранному устройству Trezor с электроникой, не защищенной корпусом. А получить такой доступ невозможно без ведома пользователя».

 

«Если кошелек всегда находится в поле вашего зрения, то ваши монеты в безопасности. Более того, если вы используете для доступа кодовую фразу, то ваши монеты в безопасности. Тем не менее, мы все равно настоятельно рекомендуем вам обновить свой Trezor», - отмечает Satoshi Labs.

 

Взлом за 15 секунд

 

После заявления Satoshi Labs на сайте Medium был опубликован отчет, в котором приводятся подробные сведения о том, как Trezor может быть скомпрометирован. Автор объясняет, что демонстрация на Def Con доказала возможность подобных атак, ввиду того, Trezor использует небезопасные чипы производства STMicroelectronics. В сообщении говорится, что взломать кошелек невероятно просто -  на это потребуется всего 15 секунд, и если ваше устройство находится у злоумышленников, располагающих этими пятнадцатью секундами, то кошелек будет наверняка опустошен.

 

«Trezor абсолютно ничего не может с этим поделать. Они не могут заменить все существующее оборудование. И действительно плохая новость заключается в том, что это также относится к Keepkey и к готовящемуся к выпуску Trezor v2 - они также используют аналогичный чип STMicroelectronics! Является ли чип ST32F05 уязвимым для мошенников? Безусловно! - вот ответ, который мы получили в рамках Def Con 25. Чип ST32F05 - обречен».



 

 

Читать полностью

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×