Исследовательская группа «Wallet.fail» на конференции Refreshing Memories нашла уязвимости в аппаратных кошельках Trezor One, Ledger Nano S и Ledger Blue.

Какие уязвимости нашли хакеры в аппаратных кошельках

Исследователи из хакерской группы «Wallet.fail»:

  • разработчик и исследователь безопасности Дмитрий Недоспасов,
  • разработчик ПО Томас Рот,
  • исследователь и в прошлом офицер подводной лодки Джош Датко.

Специалисты заявили о том, что они смогли извлечь закрытый ключ из аппаратного кошелька Trezor One. Причем, это смогли сделать уже после пользовательской перепрошивки. Уязвимость действует только в том случае, если пользователь не создал ключевую фразу.

Та же группа исследователей-хакеров заявила в беседе на конференции, что им удалось установить любую прошивку на Ledger Nano S, очень популярный аппаратный кошелек. Команда использовала эту уязвимость и поиграла в змейку на устройстве. Но ведь мошенники вряд ли будут так же безвредны. Исследователи предупредили, что таким же образом можно провести вредоносные транзакции или отображать неверные транзакции на экране аппаратного кошелька.

В дорогом кошельке Ledger Blue с цветным экраном тоже нашли проблемы. Сигналы, передающиеся на экран, слишком длинные, практически как радиоволны. Когда устройство подключено к компьютеру через USB-кабель, сигналы можно принимать через несколько метров. Команда смогла получить пин-код устройства из радиосигнала через ПО искусственного интеллекта.

Команда упомянула BitFi, аппаратного кошелька, который в июле Джон Макафи назвал «не взломанным. Один из исследователей сказал, что «мы говорим только о безопасных кошельках».

В августе подросток-хакер заявил, что взломал BitFi. Но производитель отрицает, что устройство было взломано, поскольку ничего не было украдено.

Ответ Trezor и Ledger на хакерскую атаку

Компания Ledger высказала некоторое разочарование, из-за того, что исследователи неправильно раскрыли информацию и и не следовали стандартным принципам безопасности, изложенным в программе Bounty Ledger. Кроме того, по мнению Ledger, исследователи не предоставили случаи «практических уязвимостей».

Атака изменила физический кошелек и использовала вредоносное ПО только при условии, что мошенник находится рядом. Он вводит пин-код и запускает приложение криптовалюты.

Леджер признает, что в прошивке есть ошибка, которая позволила исследователям менять ПО. Эта ошибка будет устранена в следующей версии прошивки устройства. Кроме того, с ее помощью нельзя получить доступ к криптовалюте.

Trezor тоже признает уязвимость, но призывает использовать устройство и дальше. Злоумышленнику потребуется физический доступ к вашему устройству, в частности к плате, что может привести к поломке корпуса. Заинтересованные пользователи могут включить «фразу-пароль» в аппаратных кошельках Trezor, но любая потеря фразы приведет к потере средств.

Компании признают необходимость исправления уязвимостей и оперативно работают с предоставленными исследованиями, продолжая свою работу. Только в 2017 году Ledger продала более миллиона своих кошельков и продолжает оставаться лидером отрасли. Trezor также продолжает развивать свои кошельки, например, недавно добавив поддержку Ethereum.

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

Новости из Youtube

ближайшая конференция

ЛЕНТА АКТИВНОСТИ

Admin Glover к записи: Майнинг догикоин (Dogecoin) — обзор пулов, отзывы майнеров

На данный момент самое простое это майнит на псевдомайнинге, потому что оборудов

Енот Полоскун к записи: Биржа криптовалют Currency.com ー полный обзор белорусской криптоплатформы

Деньги с биткоин-кошелька так и не зачислили после ряда проверок и верификаций,

Julia Coin к записи: 6 основных ошибок криптовалютного инвестора

Первое правило, это не потерять, а что бы не потерять тебе нужно найти биржу, ко

Julia Coin к записи: Что такое криптовалюта простым языком

Криптовалюта это способ заработать большие деньги с большими рисками. Что бы тор

Аня Любавина к записи: Криптобиржа IDAX: как работать на бирже, регистрация и отзывы 2019 года

биржа соскамилась еще в конце 2019 года. Рекомендую убрать ее из рейтинга бирж

Faty Фати к записи: Биржу Yobit обвиняют в мошенничестве и финансовых махинациях

Yobit scammers - a scam and a scam from the administrators of the crypto-exchang

Tony Clifton к записи: Биржа криптовалют Currency.com ー полный обзор белорусской криптоплатформы

Получилось вывести? Хотя в целом отзывы о бирже, конечно, настораживают

Артем Погорельский к записи: Краткий гайд для начинающих в криптовалютном мире

Есть валюта Prizm — первая справедливая криптовалюта! В ее основе лежит уникальн

Анатолий Трещев к записи: Биржа криптовалют Currency.com ー полный обзор белорусской криптоплатформы

не связывайтесь с этой биржей exchange.currency.com денег не увидите,2 дня пытаю

Борис Березин к записи: Биткоин кран FreeBitcoin: полный обзор, как зарегистрироваться, отзывы 2019 года

Да, пару лет назад было все очень круто, не было регуляций, все росло, 90% ICO н

Telegram 1
Генерация пароля