Исследовательская группа «Wallet.fail» на конференции Refreshing Memories нашла уязвимости в аппаратных кошельках Trezor One, Ledger Nano S и Ledger Blue.

Какие уязвимости нашли хакеры в аппаратных кошельках

Исследователи из хакерской группы «Wallet.fail»:

  • разработчик и исследователь безопасности Дмитрий Недоспасов,
  • разработчик ПО Томас Рот,
  • исследователь и в прошлом офицер подводной лодки Джош Датко.

Специалисты заявили о том, что они смогли извлечь закрытый ключ из аппаратного кошелька Trezor One. Причем, это смогли сделать уже после пользовательской перепрошивки. Уязвимость действует только в том случае, если пользователь не создал ключевую фразу.

Та же группа исследователей-хакеров заявила в беседе на конференции, что им удалось установить любую прошивку на Ledger Nano S, очень популярный аппаратный кошелек. Команда использовала эту уязвимость и поиграла в змейку на устройстве. Но ведь мошенники вряд ли будут так же безвредны. Исследователи предупредили, что таким же образом можно провести вредоносные транзакции или отображать неверные транзакции на экране аппаратного кошелька.

В дорогом кошельке Ledger Blue с цветным экраном тоже нашли проблемы. Сигналы, передающиеся на экран, слишком длинные, практически как радиоволны. Когда устройство подключено к компьютеру через USB-кабель, сигналы можно принимать через несколько метров. Команда смогла получить пин-код устройства из радиосигнала через ПО искусственного интеллекта.

Команда упомянула BitFi, аппаратного кошелька, который в июле Джон Макафи назвал «не взломанным. Один из исследователей сказал, что «мы говорим только о безопасных кошельках».

В августе подросток-хакер заявил, что взломал BitFi. Но производитель отрицает, что устройство было взломано, поскольку ничего не было украдено.

Ответ Trezor и Ledger на хакерскую атаку

Компания Ledger высказала некоторое разочарование, из-за того, что исследователи неправильно раскрыли информацию и и не следовали стандартным принципам безопасности, изложенным в программе Bounty Ledger. Кроме того, по мнению Ledger, исследователи не предоставили случаи «практических уязвимостей».

Атака изменила физический кошелек и использовала вредоносное ПО только при условии, что мошенник находится рядом. Он вводит пин-код и запускает приложение криптовалюты.

Леджер признает, что в прошивке есть ошибка, которая позволила исследователям менять ПО. Эта ошибка будет устранена в следующей версии прошивки устройства. Кроме того, с ее помощью нельзя получить доступ к криптовалюте.

Trezor тоже признает уязвимость, но призывает использовать устройство и дальше. Злоумышленнику потребуется физический доступ к вашему устройству, в частности к плате, что может привести к поломке корпуса. Заинтересованные пользователи могут включить «фразу-пароль» в аппаратных кошельках Trezor, но любая потеря фразы приведет к потере средств.

Компании признают необходимость исправления уязвимостей и оперативно работают с предоставленными исследованиями, продолжая свою работу. Только в 2017 году Ledger продала более миллиона своих кошельков и продолжает оставаться лидером отрасли. Trezor также продолжает развивать свои кошельки, например, недавно добавив поддержку Ethereum.

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

Новости Satoshi.fm

ЛЕНТА АКТИВНОСТИ

Марк Цукерберг выкупил разработчика чат-ботов для проекта Libra — CryptoReview к записи: Марк Цукерберг выкупил разработчика чат-ботов для проекта Libra

[…] Источник: ruscoins.info […]

Криптобиржа Upbit уберет с торгов конфиденциальные цифровые активы — CryptoReview к записи: Криптобиржа Upbit уберет с торгов конфиденциальные цифровые активы

[…] Источник: ruscoins.info […]

NASA открыла позицию специалиста по блокчейн — CryptoReview к записи: NASA открыла позицию специалиста по блокчейн

[…] Источник: ruscoins.info […]

Coinbase сообщила о листинге токена Gram — CryptoReview к записи: Coinbase сообщила о листинге токена Gram

[…] Источник: ruscoins.info […]

Stripe сместила Airbnb в ТОП-5 компаний-«единорогов» — CryptoReview к записи: Stripe сместила Airbnb в ТОП-5 компаний-«единорогов»

[…] Источник: ruscoins.info […]

Сложность майнинга Биткоина в lll квартале текущего года вырастет на 60% — CryptoReview к записи: Сложность майнинга Биткоина в lll квартале текущего года вырастет на 60%

[…] Источник: ruscoins.info […]

Новые версии ASIC X16R увеличили хешрейт криптовалюты Ravencoin — CryptoReview к записи: Новые версии ASIC X16R увеличили хешрейт криптовалюты Ravencoin

[…] Источник: ruscoins.info […]

SEC считает, что BTC нуждается в жестком регулировании, чтобы торговаться на  NYSE или Nasdaq — CryptoReview к записи: SEC считает, что BTC нуждается в жестком регулировании, чтобы торговаться на  NYSE или Nasdaq

[…] Источник: ruscoins.info […]

Биткоин демонстрирует крайне низкую волатильность — CryptoReview к записи: Биткоин демонстрирует крайне низкую волатильность

[…] Источник: ruscoins.info […]

Заработала тестовая бета-версия блокчейна Hedera Hashgraph — CryptoReview к записи: Заработала тестовая бета-версия блокчейна Hedera Hashgraph

[…] Источник: ruscoins.info […]

Telegram 1
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
*

Личный кабинет

Войти с помощью: 
  Я ознакомлен и согласен с условиями и правилами форума.
  Я ознакомлен и согласен с политикой конфиденциальности.
Генерация пароля