Конкуренты помогают устранить уязвимость в аппаратных кошельках

Поставщик аппаратных кошельков Trezor устранил уязвимость в двух своих последних моделях после того, как исследовательское подразделение конкурирующей компании Ledger обнаружило проблему в их микроконтроллерах.

При этом в Ledger Donjon отметили, что хотя Trezor достиг значительных успехов в области безопасности, криптографические операции все еще могут выполняться на микроконтроллере моделей Trezor Safe 3 и 5, что делает их "уязвимыми для более сложных атак".

К счастью, Trezor уже решил эти проблемы, о чем сообщил технический директор Ledger Шарль Гийомет в своем посте на X от 12 марта.

"Мы считаем, что повышение безопасности экосистемы полезно для всех и крайне важно для дальнейшего распространения криптовалют и цифровых активов", — добавил Гийомет.

Trezor ранее внедрил "Secure Elements" — чипы, предназначенные для защиты PIN-кода пользователя и криптографических секретов, так как некоторые из устройств Trezor могли быть взломаны путем изменения программного обеспечения, установленного на них, что потенциально позволяло злоумышленникам похищать средства пользователей.

Согласно заявлению Ledger в посте от 12 марта, функция Secure Elements "эффективно предотвращает любые недорогие аппаратные атаки, в частности сбои напряжения".

"[Это] дает пользователям уверенность, что их средства в безопасности, даже если их устройство будет потеряно или украдено."

Однако Ledger обнаружила еще одну потенциальную угрозу из-за микроконтроллера, другой основной части двухчиповой конструкции моделей Trezor Safe 3 и 5.

Trezor внедрил проверку целостности прошивки для обнаружения измененного программного обеспечения, но Ledger смог продемонстрировать, что злоумышленник все равно может обойти эту проверку безопасности.

Трезор устранил эту проблему, хотя ни Ledger, ни Trezor не сообщили, как именно. Trezor подтвердил на X, что средства пользователей остаются в безопасности и никаких действий не требуется.

Trezor подтвердил на X, что средства пользователей остаются в безопасности и никаких действий не требуется.

Из материалов: метод "Dark Skippy" может украсть ключи аппаратных кошельков для биткоина

Однако, когда Trezor спросили, удалось ли устранить эту проблему с помощью прошивки, поставщик аппаратных кошельков ответил: "К сожалению, нет."

"В кибербезопасности золотое правило просто: ничто не является полностью неуязвимым. Именно поэтому мы уже реализовали многоуровневую защиту от атак на цепочку поставок и всегда советуем нашим пользователям покупать продукцию у официальных источников."

Ledger также не защищен от уязвимостей в безопасности.

В декабре 2023 года хакер совершил взлом библиотеки подключения Ledger и похитил криптоактивы на сумму 484 000 долларов.

Другой злоумышленник, взломавший системы Ledger, опубликовал почтовые адреса около 270 000 клиентов Ledger в июне 2020 года.