На глобальном форуме программистов Def Con, который состоялся в США, была проведена презентация. Собравшейся публике продемонстрировали сразу несколько слабых мест кошелька Trezor. Программисты Картье и Датко, представляющие компанию Cryptotronix, на своем примере показали возможность взлома электронного бумажника при помощи недостатка в микроконтроллере.
Не так давно команда разработчиков фирмы Trezor презентовала новую прошивку, которая позволяет устранить обнаруженную уязвимость. По мнению оператора кошелька, найденные ранее ошибки были исправлены, а те, кто продолжает говорить о багах в программном обеспечении платформы, просто заинтересованы в распространении паники среди клиентов.
Многие пользователи, которые держали сбережения на аппаратных кошельках, начали переживать после того, как компания Satoshi Labs предупредила пользователей Интернета о том, что будет выпущено специальное обновление, которое улучшит работу системы безопасности. Так, разработчики утверждают, что они нашли проблему, которая затронула все прежние модели. Клиентам не обязательно устанавливать дополнение, но в компании рекомендуют всем принять меры для повышения уровня безопасности устройств. Кроме этого, представители Satoshi Labs утверждают, что злоумышленники могут воспользоваться обнаруженной брешью в защите только в случае, если они получат контроль над аппаратным кошельком Trezor. Таким образом, возможностей для удаленной атаки у преступников не было.
Чтобы можно было воспользоваться багом в системе безопасности, злоумышленники должны получить физический доступ к кошельку. Следовало лишить устройство корпуса и работать с электроникой, поэтому пользователи могут быть уверены в надежности их электронного бумажника. Если устройство будет находиться постоянно рядом с владельцем, монеты будут пребывать в безопасности. А если при доступе используется кодовое слово, средства не будут тронуты злоумышленниками. Но в любом случае за счет последнего обновления можно избавиться от всех рисков, связанных с устройством Trezor.
После того как представители Satoshi Labs сделали официальное заявление, на Интернет-ресурсе появилась информация о том, как скомпрометировать кошелек Trezor. По словам автора, информация, представленная на Def Con, показала простоту таких атак, ведь в аппаратных кошельках применяются чипы от компании STMicroelectronics, признанные небезопасными. Чтобы взломать устройство, не нужно иметь больших знаний в области электроники, и для этого достаточно всего 15 секунд. Поэтому если Биткоин-кошелек Trezor на какое-то время окажется в руках у преступников, они смогут этим воспользоваться.
Компания-производитель не в состоянии ничего сделать с уязвимостью, так как они не могут полностью заменить все оборудование компании. К сожалению, проблема остается в Keepkey и Trezor v2, причем последний еще только готовится к выпуску, ведь все они имеют одинаковую структуру. Таким образом, чипы ST32F05 просто не имеют никаких шансов в будущем. Кроме этого, в записи на сайте были помещены фотографии, позволяющие наглядно увидеть, как взламывать кошелек. Так, авторы статьи подключили новое устройство с девятизначным PIN-кодом, говоря о том, что не нужно даже запоминать эту комбинацию символов. Далее злоумышленники отключают гаджет и присоединяются в определенный момент к двум контактам внутри системы. Можно и разобрать кошелек, но этот путь окажется более сложным.
В момент, когда все действия с аппаратным кошельком завершены, при помощи специального ПО производится сканирование устройства. В результате злоумышленники получают его название, секретную комбинацию символов и кодовую фразу. По словам автора, в дальнейшем кошелек сразу после подключения к источнику питания ввод PIN-кода уже не потребуется, а SRAM загрузится автоматически с информацией о закрытых ключах. Но еще более опасным является то, что в процессе установки обновления для кошелька Trezor загрузчик также вскрывает защиту устройства, что противоречит всем канонам безопасности.
Представители производителя утверждают, что нынешнее обновление версии 1.5.2 способна избавиться от указанной проблемы и считают, что выступление на форуме хакеров было осуществлено с целью посеять панику среди клиентов Trezor. Член команды Satoshi Labs, скрывающийся под ником Xbach, считает, что злоумышленники сильно преувеличивают обнаруженный баг, и его удалось устранить при помощи программного обеспечения. Таким образом, он называет заявления в статье хакеров полностью некорректными. Если бы авторы действительно ставили перед собой цель предупредить пользователей, они наверняка бы обратились к разработчикам, чтобы получить вознаграждение за найденный баг.
Добавлено: 01.09.2017 
Войти
