Отчеты ShapeShift об уязвимостях KeepKey, связанных с аппаратным кошельком

Производитель криптовалюты и аппаратный кошелек ShapeShift рассмотрел недавние обвинения в уязвимости аппаратного кошелька KeepKey.

ShapeShift отреагировал на предполагаемую уязвимость, представленную через свою ответственную программу раскрытия информации, в публикации Medium, опубликованной 4 августа. Согласно объявлению, фирма получила отчет об уязвимости через программу 1 мая, в котором описывалось то, что исследователи считали уязвимостью оборудования. ,

Предполагаемая уязвимость позволила бы злоумышленнику прочитать то, что было на экране кошелька, отслеживая колебания мощности на дисплее во время так называемой атаки по побочному каналу. Если бы злоумышленники отслеживали уровни мощности, в то время как конфиденциальная информация отображалась на экране, это якобы дало бы им возможность украсть средства с устройства.

«Уязвимость» нецелесообразна

ShapeShift отмечает, что для получения доступа к конфиденциальной информации, отображаемой на экране, злоумышленнику потребуется физический доступ к устройству и точное отслеживание энергопотребления KeepKey с помощью осциллометра (или аналогичного инструмента) при отображении информации.

ShapeShift объясняет, что, поскольку эта предполагаемая уязвимость потребует физического доступа, существует более простой способ получения информации:

«Для сравнения, было бы намного проще украсть чью-то фразу восстановления, просто посмотрев через плечо, пока они настраивали свой ключ KeepKey, или установив скрытую камеру в комнате, в которой она была инициализирована».

ShapeShift заявляет, что атака по побочному каналу потребует физического доступа, специального оборудования, навыков работы с оборудованием и статистического анализа данных для получения отображаемого содержимого на основе только энергопотребления дисплея. Кроме того, он утверждает, что, даже если бы все эти требования были выполнены, все равно было бы очень трудно интерпретировать данные:

«Благодаря большему экрану в KeepKey, несколько слов фразы восстановления отображаются одновременно. Это значительно усложняет идентификацию отдельных слов (и порядка слов) на основе мощности, используемой экраном ».

Как сообщил Cointelegraph в марте, крупнейший производитель аппаратного кошелька Ledger обнародовал уязвимости в устройствах своего прямого конкурента Trezor. Трезор ответил, утверждая, что ни одна из слабостей, выявленных Леджером в его отчете, не является критической.

Spread the love
12345 (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *