Леджер апаратного гаманця допомагає конкуренту Trezor вирішити вразливість безпеки

Постачальник апаратного гаманця Trezor зафіксував недолік безпеки у двох останніх моделях після того, як дослідницька група з відкритим кодом фірми-конкурента Ledger виявила вразливість у своїх мікроконтролах.

Леджер Донджон визнав, що Трезор здійснив кілька прогресів безпеки пізно, але виявив, що криптографічні операції все ще можуть бути виконані на мікроконтролері безпечних 3 та 5 моделей Trezor, що може зробити їх “вразливими до більш просунутих атак”.

На щастя, Трезор з тих пір звернувся до знайдених вразливих місць, заявив головний директор Леджера Чарльз Гільємет у штату 12 березня.

“Ми вважаємо, що зробити екосистему більш безпечною допомагає всім і є критичним, коли ми підштовхуємо до більш широкого прийняття криптовалют та цифрових активів”, – додав Гільємет.

Trezor вже реалізував “безпечні елементи” – чіпи, розроблені для захисту PIN -коду користувача та криптографічних таємниць – оскільки деякі пристрої Trezor можуть бути підроблені, змінивши на ньому програмне забезпечення, що може дозволити суб’єктам загрози викрадати кошти користувачів.

У безпечних елементах є “фактично перешкоджає будь -якій недорозі апаратну атаку, зокрема, пробіг напруги”, – заявив Леджер у штату 12 березня.

“[Це] надає користувачам впевненість, що їхні кошти є безпечними, навіть якщо їх пристрій стає неправильним або викраденим”.

Однак Леджер виявив ще один потенційний вектор атаки, що випливає з мікроконтролера, іншої основної частини конструкції двох мікросхем Trezor для його безпечних 3 та 5 моделей.

Trezor реалізував перевірку цілісності прошивки для виявлення модифікованого програмного забезпечення, але Леджер змогла продемонструвати, що зловмисник все ще може обійти цю перевірку безпеки.

З тих пір це питання вирішило Трезор – хоча ні Леджер, ні Трезор не пояснили, як. Cointelegraph звернувся до Trezor, але не отримав негайної відповіді.

Трезор підтвердив X, що кошти користувачів залишаються в безпеці і що жодних дій не потрібно.

Пов’язано: Метод “Темний Скіппі” може вкрасти клавіші апаратних гаманців Bitcoin

Однак, на запитання, чи зможе Трезор виправити цю проблему за допомогою прошивки, постачальник апаратних гаманців відповів: “На жаль, ні”.

«У кібербезпеці золоте правило просте: нічого не є повністю нерозривним. Ось чому ми вже реалізували багатошарову захист від атак ланцюга поставок і завжди радимо нашим користувачам купувати з офіційних джерел ».

Леджер також не застрахований від вразливості безпеки.

У грудні 2023 року хакер вчинив порушення безпеки в роз’ємний під’їзд Леджера та вкрав активів криптовалют на суму 484 000 доларів.

Ще один актор загрози, який порушив системи Леджера, опублікував поштові адреси близько 270 000 клієнтів книги в червні 2020 року.