Ledger پنج نقطه‎ آسیب پذیر در دو مدل کیف پول سخت‎افزاری Trezor را افشا می‎کند

شرکت Ledger، بزرگترین سازنده‎ی کیف پول سخت افزاری، پنج آسیب‎پذیری‌‎ اساسی دستگاه‎های Trezor (رقیب خود) را فاش کرد. . Ledger مدعی‎ست که به طور مکرر، Trezor را از نقاط ضعف کیف پول‎های Trezor One و Trezor T مطلع ساخته و تصمیم گرفته است که پس از گذشت دوره‎ هشدار، آن‎ها را به‎صورت عمومی منتشر کند.

0 75

طبق گزارش منتشر شده در روز دوشنبه 11 مارس، شرکت Ledger، بزرگترین سازنده‎ی کیف پول سخت افزاری، آسیب‎پذیری‌‎های دستگاه‎های Trezor (رقیب خود) را فاش کرد.

این مطالعه نشان می‎دهد که آسیب‎پذیری‎ها توسط سازمان Attack Lab وابسته به شرکت Ledger کشف شده است. این سازمان دستگاه‎های ساخت خود و رقبا را هک می‎کند تا امنیت آن‎ها را بهبود بخشد. Ledger مدعی‎ست که به طور مکرر، Trezor را از نقاط ضعف کیف پول‎های Trezor One و Trezor T مطلع ساخته و تصمیم گرفته پس از گذشت دوره‎ی مسئولانه‎ی افشاگری، آن‎ها را به‎صورت عمومی منتشر کند.

اولین مسأله مربوط به اصالت دستگاه‎هاست. طبق گفته‎ تیم Ledger، دستگاه‎های Trezor را می‎توان با استفاده از malware، به طور مخفیانه کپی کرده و سپس با برچسب ضد جعل تقلبی مجدداً در جعبه‎ی مخصوص خود پلمپ کرد. لجر تصریح کرد که این نقطه‌ی آسیب‎پذیر تنها با بازنگری در طراحی کیف پول Trezor، و به طور خاص با جایگزینی یکی از اجزای اصلی آن با تراشه‎های Secure Element، رفع خواهد شد.

در مرحله‎ی دوم، گزارش شد که هکرهای Ledger توانستند PIN کیف پول‏‏های Trezor را با استفاده از حمله‎ی side-channel حدس بزنند. این موضوع در اواخر نوامبر 2018 به Trezor اعلام شد که این شرکت در آپدیت سخت افزاری نسخه‎ی 1.8.0 مشکل را رفع کرد.

آسیب‎پذیری‎های سوم و چهارم شامل احتمال سرقت اطلاعات محرمانه از از دستگاه است که Ledger برای رفع این موارد نیز، جایگزینی یکی از اجزای اصلی با یک تراشه‎ی Secure Element را پیشنهاد می‎دهد. لجر مدعیست که یک مهاجم، با دسترسی فیزیکی به Trezor One و Trezor T قادر است تمامی داده‎های فلش مموری را استخراج کرده و کنترل دارایی‎های ذخیره شده در دستگاه را به‎دست گیرد.

آخرین ضعف کشف شده نیز مربوط به مدل امنیتی Trezor است: طبق گفته‎ی Ledger، کتابخانه‎ی کریپتوی Trezor One از اقدامات پیشگیرانه‎ی مناسب در برابر حملات سخت افزاری برخوردار نیست. این تیم مدعی‎ست که یک هکر با دسترسی فیزیکی به دستگاه قادر است از طریق حمله‎ی side-channel کلید رمز دستگاه را استخراج کند؛ هرچند Trezor مدعی‎ست که این کیف پول‎ها دربرابر چنین حملاتی مقاومند.

در نوامبر 2018 شرکت Trezor، خود به کاربران هشدار داد که یک شخص ثالث در حال توزیع کپی‎های یک به یک دستگاه پرچمدار Trezor One است. به نظر می‎رسد این کیف پول‎های تقلبی از کشور چین منتشر شده باشد که این شرکت به کاربران هشدار داد برای اطمینان از اصالت محصول، کیف پول‎های خود را تنها از وبسایت Trezor خریداری کنند.

با این حال Ledger طی گزارش اخیر ادعا می‏کند که کاربران حتی با خرید از وبسایت رسمی Trezor نیز نمی‎توانند از کیف پول‎های خود مطمئن باشند. چراکه این امکان وجود دارد که شخص مهاجم چندین دستگاه را خریداری کرده و پس از نفوذ و تهیه‎ی کپی از آن، آن را به شرکت بازگردانده و تقاضای بازپرداخت کند. درصورتی که این دستگاه‎های معیوب و آسیب‎پذیر مجدداً به فروش برسند، دارایی‎های کریپتوی کاربر در معرض خطر دزدی خواهد بود.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.