Исследовательская группа «Wallet.fail» на конференции Refreshing Memories нашла уязвимости в аппаратных кошельках Trezor One, Ledger Nano S и Ledger Blue.

Какие уязвимости нашли хакеры в аппаратных кошельках

Исследователи из хакерской группы «Wallet.fail»:

  • разработчик и исследователь безопасности Дмитрий Недоспасов,
  • разработчик ПО Томас Рот,
  • исследователь и в прошлом офицер подводной лодки Джош Датко.

Специалисты заявили о том, что они смогли извлечь закрытый ключ из аппаратного кошелька Trezor One. Причем, это смогли сделать уже после пользовательской перепрошивки. Уязвимость действует только в том случае, если пользователь не создал ключевую фразу.

Та же группа исследователей-хакеров заявила в беседе на конференции, что им удалось установить любую прошивку на Ledger Nano S, очень популярный аппаратный кошелек. Команда использовала эту уязвимость и поиграла в змейку на устройстве. Но ведь мошенники вряд ли будут так же безвредны. Исследователи предупредили, что таким же образом можно провести вредоносные транзакции или отображать неверные транзакции на экране аппаратного кошелька.

В дорогом кошельке Ledger Blue с цветным экраном тоже нашли проблемы. Сигналы, передающиеся на экран, слишком длинные, практически как радиоволны. Когда устройство подключено к компьютеру через USB-кабель, сигналы можно принимать через несколько метров. Команда смогла получить пин-код устройства из радиосигнала через ПО искусственного интеллекта.

Команда упомянула BitFi, аппаратного кошелька, который в июле Джон Макафи назвал «не взломанным. Один из исследователей сказал, что «мы говорим только о безопасных кошельках».

В августе подросток-хакер заявил, что взломал BitFi. Но производитель отрицает, что устройство было взломано, поскольку ничего не было украдено.

Ответ Trezor и Ledger на хакерскую атаку

Компания Ledger высказала некоторое разочарование, из-за того, что исследователи неправильно раскрыли информацию и и не следовали стандартным принципам безопасности, изложенным в программе Bounty Ledger. Кроме того, по мнению Ledger, исследователи не предоставили случаи «практических уязвимостей».

Атака изменила физический кошелек и использовала вредоносное ПО только при условии, что мошенник находится рядом. Он вводит пин-код и запускает приложение криптовалюты.

Леджер признает, что в прошивке есть ошибка, которая позволила исследователям менять ПО. Эта ошибка будет устранена в следующей версии прошивки устройства. Кроме того, с ее помощью нельзя получить доступ к криптовалюте.

Trezor тоже признает уязвимость, но призывает использовать устройство и дальше. Злоумышленнику потребуется физический доступ к вашему устройству, в частности к плате, что может привести к поломке корпуса. Заинтересованные пользователи могут включить «фразу-пароль» в аппаратных кошельках Trezor, но любая потеря фразы приведет к потере средств.

Компании признают необходимость исправления уязвимостей и оперативно работают с предоставленными исследованиями, продолжая свою работу. Только в 2017 году Ledger продала более миллиона своих кошельков и продолжает оставаться лидером отрасли. Trezor также продолжает развивать свои кошельки, например, недавно добавив поддержку Ethereum.

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

Новости из Youtube

ЛЕНТА АКТИВНОСТИ

Дмитрий Павленко к записи: 365cash — обзор обменника

Уже пару раз обменивал биток в обменнике 365cash. Сначала немного переживал, но

Дмитрий Павленко к записи: CosmoChanger — обзор «самого реактивного» обменника

Постоянно обмениваю биткоины на сайте CosmoChanger. Все операции прошли успешно

Александр Воробей к записи: Смарт-контракты появятся в Cardano [ADA] в конце апреля

Блокчейн-платформа Cardano была создана в 2015 году и практически всегда держитс

legalBROKER к записи: Криптовалютная биржа Coinsbit: полный обзор

Coinsbit биржа хорошо себя показала, я получил свою раздачу сбу-токена. Биржевой

сергей садиков к записи: P2PB2B — обзор биржи криптовалют из Эстонии

Неплохо, но соглашусь с Антоном - выводы иногда реально могут долго доходить.

Борис Бритва к записи: Uniswap [UNI] анонсировали 3-ю версию биржи

(:crazy:)

Андрей Р. к записи: E-scrooge — обзор обменника в 2020

НЕКОМПЕТЕНТНОСТЬ РАБОТНИКОВ, СКРЫТЫЕ КОМИССИИ __________________________________

серж Алексеевич к записи: Заработок на майнинге криптовалют: сколько можно заработать в 2019?

Хорошая тема - браузер с майнингом. Копит не быстро, зато выплачивает от 1000 са

Антон Стрижнев к записи: P2PB2B — обзор биржи криптовалют из Эстонии

Иногда приходится ждать выводов до 10 часов. По-моему, на других биржах выводы б

Vlad Geo к записи: Криптовалюта Gas [GAS] — курс, отзывы, капитализация, как купить

Поскольку GAS на Бинанс торгуется только в одной паре - с биткоином - то это хор

Telegram 1
Генерация пароля