Producenci wadliwych portfeli odpowiadają na zarzuty

Portfele kryptograficzne firm Trezor oraz Ledger toną ostatnimi czasy w lawinach niepochlebnych komentarzy. Wszystko spowodowane jest faktem, że grupie ekspertów ds. bezpieczeństwa udało się zhakować owe portfele kilka dni wcześniej. Teraz obie firmy postanowiły wypowiedzieć się na temat wadliwego sprzętu uspokajając swoich użytkowników.

Ledger

Eksperci zaprezentowali trzy ścieżki, które mogłyby sprawiać wrażenie, że tzw. luki krytyczne zostały wykryte na naszych urządzeniach. Nie w tym rzecz.”

Pisze Ledger na swoim blogu, ciesząc się jednocześnie, że ludzie stawiają wyzwania ich urządzeniom. Uważa jednak, że badacze nie dostarczyli tak naprawdę ‘praktycznych’ luk, które mogłyby w rzeczywistości stanowić zagrożenie.

W świecie bezpieczeństwa normalnym sposobem postępowania jest odpowiedzialne ujawnianie (przyp. red. niedoskonałości). Żałujemy tylko, że naukowcy nie przestrzegali standardowych zasad bezpieczeństwa opisanych w programie Bounty Ledger.”

Naukowcy przeprowadzili atak, który zmodyfikował portfel fizyczny i wykorzystał złośliwe oprogramowanie komputera właściciela. W połączeniu z potencjalnym intruzem w sąsiednim pomieszczeniu, który zdalnie wprowadzałby złamany kod PIN i uruchamiał aplikację kryptowalutową, ekspertom udało się złamać zabezpieczenia Ledger.

To całkowicie niepraktyczne, a zmotywowany haker użyłby z pewnością bardziej wyrafinowanych sztuczek. Próbowali oni wykonać atak łańcucha dostaw, pomijając kontrolę MCU. Nie udało im się. MCU zarządza ekranem, ale nie ma dostępu ani do kodu PIN ani do danych. Są one przechowywane w tzw. Bezpiecznym Elemencie.”- wyjaśnia Ledger.

Firma potwierdza problem w funkcji aktualizacji oprogramowania. Problem ten pozwolił ekspertom na ‘wbudowanie’ swojego własnego oprogramowania. Ledger mówi jednak, że wada ta została usunięta już w kolejnej wersji oprogramowania i ów problem już nie występuje.

Ledger uważa, że przepuszczony przez ekspertów atak jest interesujący, ale mało prawdopodobny w rzeczywistych warunkach. Ponadto wychodzi na to, że Ledger rozważał już atak tego rodzaju, stwierdzając:

Już zaimplementowaliśmy losową klawiaturę kodu PIN w urządzeniach Ledger Nano S. To samo usprawnienie instalujemy już w następnej generacji Ledger Blue Firmware.”

Trezor

Choć Trezor rozpoczął pracę od razu po otrzymaniu informacji o złamaniu zabezpieczeń, uważa również, że jest to luka fizyczna, która została zidentyfikowana już wcześniej.

Osoba atakująca potrzebowałaby fizycznego dostępu do Twojego portfela. W szczególności jeśli chodzi o łamanie zabezpieczeń. Jeśli więc posiadasz fizyczną kontrolę nad swoim portfelem- korzystaj z niego dalej bez obaw. Ta luka nie stanowi dla Ciebie zagrożenia.”- tłumaczy Trezor.

Firma  orzekła również, że ‘zmartwieni’ użytkownicy mogą na swoich urządzeniach uruchomić funkcję hasła. Natomiast każdorazowa utrata hasła równoznaczna jest z utratą środków.

W kwestii bezpieczeństwa

Wydaje się, że eksperci byli w stanie zidentyfikować potencjalne słabości sprzętów obu firm. Potencjalne i mało prawdopodobne. Wydaje się również, że Trezor i Ledger są o krok przed takimi identyfikacjami. Dzielą się oni swoimi ‘odkryciami’, nawet jeśli nie posiadają własnych programów do zgłaszania problemów sprzętowych. Dzielą się i od razu im przeciwdziałają.

Tylko w 2017 roku Ledger sprzedał ponad milion swoich urządzeń. Do tej pory jest liderem swojego sektora. Firma Trezor również prężnie się rozwija dodając wsparcia dla coraz to nowszych kryptowalut.

brak komentarzy

zostaw odpowiedź