НОВОСТИ Исследователи продемонстрировали атаки на кошельки trezor и ledger

Agent013

Знающий
ЮБИЛЕЙНАЯ ЛЕНТА

Agent013

Знающий
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
11 Дек 2018
Сообщения
442
Реакции
92
Репутация
0
Специалисты выявили пять векторов атак на популярные аппаратные криптовалютные кошельки.

В четверг, 27 декабря, на конгрессе 35c3 в Лейпциге (Германия) исследователи берлинской кампании Wallet.fail продемонстрировали успешные атаки на популярные аппаратные криптовалютные кошельки Trezor и Ledger.
«Наши атаки на аппаратные кошельки варьируются от взлома проприетарной защиты загрузчика и взлома web-интерфейсов для взаимодействия с кошельками до физических атак, включая вызов сбоев с целью обхода механизмов безопасности, реализованных в микроконтроллерах кошелька. Наш обширный анализ нескольких кошельков выявил систематические и повторяющиеся проблемы», - сообщили исследователи.
В частности, исследователям удалось:
Извлечь PIN-код и мнемоническую фразу из оперативной памяти кошелька Trezor;
Удаленно подписать транзакции через взломанный кошелек Ledger Nano S;
Получить PIN-код для доступа к кошельку Ledger Blue с помощью атаки по сторонним каналам;
Запустить игру «Змейка» через загрузчик на кошельке Ledger Nano S.
По словам исследователей, им удалось

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в кошельках разные типы уязвимостей, которые можно проэксплуатировать как вместе, так и по отдельности. Команда Wallet.fail выявила следующие векторы атак: архитектура, прошивка, аппаратное обеспечение, программное обеспечение, физические компоненты.
Согласно

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

Ledger, продемонстрированные исследователями атаки являются трудноосуществимыми с практической стороны и не представляют опасности.
Компания Trezor анонсировала выход обновления пошивки уже в следующем месяце. Как и Ledger, Trezor отметила низкую опасность продемонстрированных атак, поскольку для их осуществления требуется физический доступ к устройству. Компания

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

своих пользователей в том, что им ничего не грозит, если хранить кошельки в надежном месте. По словам представителей Trezor, раскрыв подробности об уязвимостях на конференции, предварительно не сообщив о них производителям, команда Wallet.fail поступила безответственно.
 
Сверху