Kantor kryptowaluty.pl już wystartował! Wymieniaj kryptowaluty po najkorzystniejszych kursach Wchodzę!

Ledger ujawnia 5 luk w konstrukcji portfeli Trezora

5 min czytania

11 marca bieżącego roku na oficjalnej stronie Ledgera pojawił się komunikat prasowy, w którym ukazano 5 luk w konstrukcji portfeli kryptowalutowych Trezora. Firma podkreśla, że głównym motywem ujawnienia owych informacji jest troska o bezpieczeństwo konsumentów.

Według wydanego komunikatu Ledger nieustannie sprawdza zabezpieczenia nie tylko we własnych urządzeniach, ale także u konkurencji. Firma podaje, iż priorytetem dla grupy badawczj jest zapewnienie bezpieczeństwa całej społeczności blockchaina.

Szansa na poprawę...

Zastanawiacie się penie, czy Ledger może publicznie dzielić się takimi informacjami? Czy nie działa na szkodę konkurencji? Otóż firma skontaktowała się z Trezorem już cztery miesiące temu. Do wczoraj obowiązywał więc tzw. okres ujawnienia. Attack Lab wyznaczył Trezorowi czas na usunięcie luk w portfelach kryptowalutowych. Ledger podkreśla, iż celowo nie ujawnił wcześniej owych informacji, ponieważ zaszkodziłyby one nie tylko Trezorowi, ale również konsumentom, którzy mogliby łatwo paść ofiarom hakerów. Cytując Ledgera:
Zwracając uwagę na bezpieczeństwo konkurencyjnych produktów, zawsze przestrzegamy zasad odpowiedzialnego ujawniani danych. Informujemy firmy o danych lukach w zabezpieczeniach ich urządzeń oraz wyznaczamy im czas na naniesienie poprawek.

Analiza portfeli kryptowalutowych

Laboratorium badawcze wzięło pod lupę dwa portfele kryptowalutowe Trezora: Trezor One i Trezor T. Głównie skoncentrowano się jednak na Trezor One.
  • Pierwszą wytypowaną lukę w bezpieczeństwie stanowiła autentyczność urządzenia. Analiza Ledgera wykazała, że portfel kryptowalutowy Trezora bardzo łatwo można było podrobić. Firma podaje, że udało jej się wyprodukować fałszywe urządzenie, które nie różniło się niczym od prawdziwego. Attack Lab dosłownie sklonował portfel Trezora. Nawet oryginalne pudełko nie stanowiło problemu. W tym wypadku również naklejka zabezpieczona przed manipulacją nie zdała testu. Ledger podaje, iż w tej sytuacji osoba atakująca nasz sprzęt mogłaby uzyskać pełną kontrolę nad kodem uruchomionym na podrobionym sprzęcie. Zdaniem Attack Lab, nawet jeśli użytkownik zakupiłby portfel kryptowalutowy bezpośrednio ze strony internetowej Trezora, nie oznacza to, że miałby 100% gwarancję autentyczności. Ledger podaje, że osoba dokonująca przestępstwa mogłaby kupić kilka urządzeń, złożyć reklamację i odesłać z powrotem prosząc o zwrot kosztów, zgodnie z okresem gwarancji. Jednak zdaniem Trezora luka ta nie stanowi zagrożenia. Firma stwierdziła, iż konsumenci nie są narażeni, jeżeli kupują sprzęt tylko z ich oficjalnej strony.
  • Kolejnym minusem, który posiadał portfel kryptowalutowy Trezora było zabezpieczenie poprzez kod PIN. Umożliwiał on bowiem dostęp zarówno do urządzenia, jak i środków znajdujących się na nim. Według analizy grupy badawczej tzw. atak z kanału bocznego umożliwiał odgadnięcie tego kodu. Polegał on na przedstawieniu losowego PIN-u oraz późniejszym pomiarze zużycia energii. Ów sposób pozwalał na  zdemaskowanie kodu PIN w ciągu zaledwie 5 prób. Warto dodać, że użytkownik posiadał aż 15 podejść. Trezor zgodził z Ledgerem, iż PIN nie chroni użytkownika przed fizycznym atakiem, dlatego też luka ta została naprawiona przez firmę wraz z aktualizacją oprogramowania układowego 1.8.0
  • Według opublikowanej informacji kolejne zagrożenia jakie dostrzegł Ledger związane jest z poufnością danych. Według przeprowadzonej analizy osoba atakująca, która ma fizyczny dostęp do urządzenia, mogłaby wyodrębnić wszystkie dane znajdujące się w pamięci Flash, a co za tym idzie okraść użytkownika z zasobów znajdujących się na wszystkich jego kontach. Zdaniem Ledgera owa luka nie jest możliwa do naprawienia. Z tego też powodu firma postanowiła nie ujawniać jej szczegółów technicznych. Laboratorium badawcze podkreśliło, że zagrożenie to można zminimalizować, stosując silne hasło do urządzenia.
  • Ledger przeanalizował także implementacje biblioteki kryptograficznej w modelu Trezor One. Okazało się, że nie zawiera ona odpowiednich środków zaradczych chroniących przed atakiem sprzętowym. Wyjątek stanowi tutaj funkcja mnożenia. Należy dodać, iż zdaniem Ledgera może ona stanowić powód do niepokoju. Funkcja mnożenia skali jest bowiem główną operacją kryptograficzną dla kryptowalut. Jest ona używana do najbardziej krytycznych operacji z tajnymi kluczami. Ledger dodaje, iż w swoim kodzie funkcja ta chroni przed atakami z kanału bocznego. Zdaniem firmy osoba dokonująca fizycznego ataku na urządzenie, może wyodrębnić tajny klucz, wykorzystując ataki z kanału bocznego, podczas gdy jest on używany przez mnożenie skali. Grupa badawcza udowodniła, iż za pomocą oscyloskopu cyfrowego możliwe jest wyodrębnienie klucza transakcji za pomocą analizy kanałów bocznych. Luka ta wpływa nie wpływa jednak bezpośrednio na model zabezpieczeń firmy Trezor, ponieważ nie może ona zostać uruchomiona bez uprzedniego poznania kodu PIN.
Zobacz również: IKEA: świetlana przyszłość oparta na blockchainie!
Waluta Kurs Dokonaj zakupu

kryptowaluty.pl
Błyskawiczne
transakcje kartą
Kupuj, sprzedawaj, wymieniaj
topowe krypto

Drogi użytkowniku,

podczas przeglądania i korzystania z usług naszych serwisów wykorzystujemy pliki cookies, które służą poprawnemu i bezpiecznemu świadczeniu przez nas usług. Pliki cookies, czyli niewielkie informacje tekstowe, które są zapisywane na urządzeniu, z którego korzystasz w związku korzystaniem ze serwisu internetowego. Ich stosowanie ma na celu poprawne działanie stron internetowych serwisu Internetowego. Zamykając ten komunikat (klikając w przycisk “Akceptuję i przechodzę do serwisu” ) wyrażasz zgodę na korzystanie w Internecie z technologii automatycznego śledzenia i zbierania danych oraz przetwarzania ich przez Tokeneo TEO OU, oraz akceptujesz politykę prywatności serwisu. Zamknięcie powiadomienia poprzez “X” wiąże się jednoznacznie z wyrażeniem zgody

Pliki te pozwalają zidentyfikować oprogramowanie wykorzystywane przez Ciebie oraz dostosować serwis internetowy indywidualnie do Twoich potrzeb. Pliki cookies zazwyczaj zawierają nazwę domeny, z której pochodzą, czas przechowywania ich na urządzeniu oraz przypisaną wartość.

Pliki cookies podmiotów zewnętrznych:
Wykorzystujemy także pliki "cookies" podmiotów zewnętrznych w następujących celach:

  • tworzenia statystyk – pomagających zrozumieć sposób korzystania przez Użytkowników z Serwisu internetowego, co umożliwia ulepszanie jego struktury i zawartości za pośrednictwem narzędzi analitycznych
  • określania profilu użytkowników – a następnie wyświetlania dopasowanych pod jego kątem materiałów w sieciach reklamowych,

Podmioty zewnętrzne:

Za pomocą ustawień przeglądarki internetowej lub za pomocą konfiguracji usługi, możesz samodzielnie i w każdym czasie zmienić ustawienia dotyczące cookies, określając warunki ich przechowywania i uzyskiwania dostępu przez cookies do Twojego urządzenia. Ustawienia te możesz zmienić tak, aby blokować automatyczną obsługę cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu na Twoim urządzeniu.

Szczegółowe informacje o możliwości i sposobach obsługi Cookies dostępne są w ustawieniach Twojego oprogramowania (przeglądarki internetowej).

Polityka prywatności serwisu

Niniejszy dokument określa zasady Polityki prywatności w Serwisie internetowym tokeneo.com/news/pl (dalej jako "Serwis Internetowy" lub „Serwis”). Administratorem Serwisu internetowego jest TOKENEO TEO OÜ (spółka o ograniczonej odpowiedzialności podlegająca prawu estońskiemu) z siedzibą w Tallinie (w prowincji Harju Maakond), pod adresem ul. Maakri 19-7K (w dzielnicy Kesklinna Iinnaosa), 10-145 Tallinn, w Estonii, zarejestrowana w dniu 21.12.2018 w estońskim rejestrze gospodarczym pod numerem:14630242, posługująca się numerem VAT UE: EE102149487.

Pełny dokument, w którym przeczytać można politykę prywatności usług Tokeneo dostępny jest w tym dokumencie.

Szczegółowe ustawienia mogą być zmieniane w przeglądarce.