Trezor опровергает обвинения в аппаратной уязвимости своих кошельков

[sashka_somik]

 

В июле этого года на всемирно известной конференции хакеров Def Con 25 была проведена презентация, демонстрирующая уязвимости аппаратного кошелька Trezor. На ней инженеры компании Cryptotronix, Джош Датко (Josh Datko) и Крис Картье (Chris Quartier) показали взлом аппаратного кошелька Trezor через уязвимость микроконтроллера.

 

На днях производитель Trezor выпустил новую прошивку, устраняющую уязвимость в системе безопасности. Оператор кошелька отмечает, что баг исправлен, и что те, кто утверждает, что аппаратный кошелек поддается взлому на аппаратном уровне, попросту хотят посеять панику среди пользователей.

 

 

На этой неделе владельцы аппаратных кошельков взбудоражились, когда компания Satoshi Labs опубликовала заявление, в котором говорилось о выпуске «прошивки для обновления системы безопасности». В блоге поясняется, что была обнаружена уязвимость, которая затронула все модели. Обновление не является обязательным, но компания рекомендует всем пользователям обновить свои устройства. Кроме того, в записи отмечается, что злоумышленники могли бы воспользоваться обнаруженной уязвимостью только в том случае, если бы они физически завладели аппаратным кошельком и имели бы время на то, чтобы его разобрать.

 

«Важно отметить, что речь не идет об удаленной атаке», - объясняет Satoshi Labs, производитель кошельков Trezor. 

 

«Чтобы воспользоваться этой уязвимостью, злоумышленнику нужен физический доступ к разобранному устройству Trezor с электроникой, не защищенной корпусом. А получить такой доступ невозможно без ведома пользователя».

 

«Если кошелек всегда находится в поле вашего зрения, то ваши монеты в безопасности. Более того, если вы используете для доступа кодовую фразу, то ваши монеты в безопасности. Тем не менее, мы все равно настоятельно рекомендуем вам обновить свой Trezor», - отмечает Satoshi Labs.

 

Взлом за 15 секунд

 

После заявления Satoshi Labs на сайте Medium был опубликован отчет, в котором приводятся подробные сведения о том, как Trezor может быть скомпрометирован. Автор объясняет, что демонстрация на Def Con доказала возможность подобных атак, ввиду того, Trezor использует небезопасные чипы производства STMicroelectronics. В сообщении говорится, что взломать кошелек невероятно просто -  на это потребуется всего 15 секунд, и если ваше устройство находится у злоумышленников, располагающих этими пятнадцатью секундами, то кошелек будет наверняка опустошен.

 

«Trezor абсолютно ничего не может с этим поделать. Они не могут заменить все существующее оборудование. И действительно плохая новость заключается в том, что это также относится к Keepkey и к готовящемуся к выпуску Trezor v2 - они также используют аналогичный чип STMicroelectronics! Является ли чип ST32F05 уязвимым для мошенников? Безусловно! - вот ответ, который мы получили в рамках Def Con 25. Чип ST32F05 - обречен».



 

 

Читать полностью