Найдены уязвимости в аппаратных кошельках: комментарии от Ledger и Trezor

Исследовательская группа «Wallet.fail» на конференции Refreshing Memories нашла уязвимости в аппаратных кошельках Trezor One, Ledger Nano S и Ledger Blue.

Исследователи из хакерской группы «Wallet.fail»:

• разработчик и исследователь безопасности Дмитрий Недоспасов,
• разработчик ПО Томас Рот,
• исследователь и в прошлом офицер подводной лодки Джош Датко.

Специалисты заявили о том, что они смогли извлечь закрытый ключ из аппаратного кошелька Trezor One. Причем, это смогли сделать уже после пользовательской перепрошивки. Уязвимость действует только в том случае, если пользователь не создал ключевую фразу.

Та же группа исследователей-хакеров заявила в беседе на конференции, что им удалось установить любую прошивку на Ledger Nano S, очень популярный аппаратный кошелек. Команда использовала эту уязвимость и поиграла в змейку на устройстве. Но ведь мошенники вряд ли будут так же безвредны. Исследователи предупредили, что таким же образом можно провести вредоносные транзакции или отображать неверные транзакции на экране аппаратного кошелька.

В дорогом кошельке Ledger Blue с цветным экраном тоже нашли проблемы. Сигналы, передающиеся на экран, слишком длинные, практически как радиоволны. Когда устройство подключено к компьютеру через USB-кабель, сигналы можно принимать через несколько метров. Команда смогла получить пин-код устройства из радиосигнала через ПО искусственного интеллекта.

Команда упомянула BitFi, аппаратного кошелька, который в июле Джон Макафи назвал «не взломанным. Один из исследователей сказал, что «мы говорим только о безопасных кошельках».

В августе подросток-хакер заявил, что взломал BitFi. Но производитель отрицает, что устройство было взломано, поскольку ничего не было украдено.

Ответ Trezor и Ledger на хакерскую атаку

Компания Ledger высказала некоторое разочарование, из-за того, что исследователи неправильно раскрыли информацию и и не следовали стандартным принципам безопасности, изложенным в программе Bounty Ledger. Кроме того, по мнению Ledger, исследователи не предоставили случаи «практических уязвимостей».

Атака изменила физический кошелек и использовала вредоносное ПО только при условии, что мошенник находится рядом. Он вводит пин-код и запускает приложение криптовалюты.

Леджер признает, что в прошивке есть ошибка, которая позволила исследователям менять ПО. Эта ошибка будет устранена в следующей версии прошивки устройства. Кроме того, с ее помощью нельзя получить доступ к криптовалюте.

Trezor тоже признает уязвимость, но призывает использовать устройство и дальше. Злоумышленнику потребуется физический доступ к вашему устройству, в частности к плате, что может привести к поломке корпуса. Заинтересованные пользователи могут включить «фразу-пароль» в аппаратных кошельках Trezor, но любая потеря фразы приведет к потере средств.

Компании признают необходимость исправления уязвимостей и оперативно работают с предоставленными исследованиями, продолжая свою работу. Только в 2017 году Ledger продала более миллиона своих кошельков и продолжает оставаться лидером отрасли. Trezor также продолжает развивать свои кошельки, например, недавно добавив поддержку Ethereum.