Исследовательская группа «Wallet.fail» на конференции Refreshing Memories нашла уязвимости в аппаратных кошельках Trezor One, Ledger Nano S и Ledger Blue.

Какие уязвимости нашли хакеры в аппаратных кошельках

Исследователи из хакерской группы «Wallet.fail»:

  • разработчик и исследователь безопасности Дмитрий Недоспасов,
  • разработчик ПО Томас Рот,
  • исследователь и в прошлом офицер подводной лодки Джош Датко.

Специалисты заявили о том, что они смогли извлечь закрытый ключ из аппаратного кошелька Trezor One. Причем, это смогли сделать уже после пользовательской перепрошивки. Уязвимость действует только в том случае, если пользователь не создал ключевую фразу.

Та же группа исследователей-хакеров заявила в беседе на конференции, что им удалось установить любую прошивку на Ledger Nano S, очень популярный аппаратный кошелек. Команда использовала эту уязвимость и поиграла в змейку на устройстве. Но ведь мошенники вряд ли будут так же безвредны. Исследователи предупредили, что таким же образом можно провести вредоносные транзакции или отображать неверные транзакции на экране аппаратного кошелька.

В дорогом кошельке Ledger Blue с цветным экраном тоже нашли проблемы. Сигналы, передающиеся на экран, слишком длинные, практически как радиоволны. Когда устройство подключено к компьютеру через USB-кабель, сигналы можно принимать через несколько метров. Команда смогла получить пин-код устройства из радиосигнала через ПО искусственного интеллекта.

Команда упомянула BitFi, аппаратного кошелька, который в июле Джон Макафи назвал «не взломанным. Один из исследователей сказал, что «мы говорим только о безопасных кошельках».

В августе подросток-хакер заявил, что взломал BitFi. Но производитель отрицает, что устройство было взломано, поскольку ничего не было украдено.

Ответ Trezor и Ledger на хакерскую атаку

Компания Ledger высказала некоторое разочарование, из-за того, что исследователи неправильно раскрыли информацию и и не следовали стандартным принципам безопасности, изложенным в программе Bounty Ledger. Кроме того, по мнению Ledger, исследователи не предоставили случаи «практических уязвимостей».

Атака изменила физический кошелек и использовала вредоносное ПО только при условии, что мошенник находится рядом. Он вводит пин-код и запускает приложение криптовалюты.

Леджер признает, что в прошивке есть ошибка, которая позволила исследователям менять ПО. Эта ошибка будет устранена в следующей версии прошивки устройства. Кроме того, с ее помощью нельзя получить доступ к криптовалюте.

Trezor тоже признает уязвимость, но призывает использовать устройство и дальше. Злоумышленнику потребуется физический доступ к вашему устройству, в частности к плате, что может привести к поломке корпуса. Заинтересованные пользователи могут включить «фразу-пароль» в аппаратных кошельках Trezor, но любая потеря фразы приведет к потере средств.

Компании признают необходимость исправления уязвимостей и оперативно работают с предоставленными исследованиями, продолжая свою работу. Только в 2017 году Ledger продала более миллиона своих кошельков и продолжает оставаться лидером отрасли. Trezor также продолжает развивать свои кошельки, например, недавно добавив поддержку Ethereum.

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

Новости из Youtube

ближайшая конференция

ЛЕНТА АКТИВНОСТИ

Ethereum Classic [ETC] может перейти на новый алгоритм консенсуса | CryptoAsk.ru к записи: Ethereum Classic [ETC] может перейти на новый алгоритм консенсуса

[…] Источник […]

Coinbase и OKCoin прекратили торговлю XRP. Курс упал на 30% | CryptoAsk.ru к записи: Coinbase и OKCoin прекратили торговлю XRP. Курс упал на 30%

[…] Источник […]

Bitcoin [BTC] заканчивает год выше $29,000 | CryptoAsk.ru к записи: Bitcoin [BTC] заканчивает год выше $29,000

[…] Источник […]

Bittrex проводит делистинг Monero [XMR], Zcash [ZEC] и Dash [DASH] | CryptoAsk.ru к записи: Bittrex проводит делистинг Monero [XMR], Zcash [ZEC] и Dash [DASH]

[…] Источник […]

Bitcoin [BTC] поднялся выше $34,000 | CryptoAsk.ru к записи: Bitcoin [BTC] поднялся выше $34,000

[…] Источник […]

Банкам в США разрешили выпускать стейблкоины | CryptoAsk.ru к записи: Банкам в США разрешили выпускать стейблкоины

[…] Источник […]

Капитализация рынка криптовалют превысила $1 трлн. | CryptoAsk.ru к записи: Капитализация рынка криптовалют превысила $1 трлн.

[…] Источник […]

Ребрендинг и новые проекты в сети Polkadot [DOT] в 2021 году | CryptoAsk.ru к записи: Ребрендинг и новые проекты в сети Polkadot [DOT] в 2021 году

[…] Источник […]

$3 трлн. от Джо Байдена помогут росту Bitcoin [BTC] | CryptoAsk.ru к записи: $3 трлн. от Джо Байдена помогут росту Bitcoin [BTC]

[…] Источник […]

Binance запускает блокчейн-акселератор для децентрализованных финансов | CryptoAsk.ru к записи: Binance запускает блокчейн-акселератор для децентрализованных финансов

[…] Источник […]

Telegram 1
Генерация пароля