Поставщик аппаратного кошелька Trezor исправил уязвимость безопасности в двух своих последних моделях после того, как исследовательское подразделение с открытым исходным кодом конкурентной фирмы Ledger обнаружило уязвимость в их микроконтроллерах.
Ledger Donjon признал, что Trezor в последнее время добился нескольких улучшений безопасности, но обнаружил, что криптографические операции все еще могут выполняться на микроконтроллере модели Trezor Safe 3, что может сделать их «уязвимыми для более сложных атак».
К счастью, Trezor с тех пор устранил обнаруженные уязвимости, сказал главный технический директор Ledger Шарль Гийеме в сообщении X от 12 марта.
«Мы считаем, что повышение безопасности экосистемы помогает всем и имеет решающее значение, поскольку мы продвигаемся к более широкому внедрению крипто- и цифровых активов», — добавил Гийемет.
Источник: Шарль Гийемет.
Trezor уже внедрил «защищенные элементы» — чипы, предназначенные для защиты PIN-кода и криптографических секретов пользователя, — поскольку некоторые устройства Trezor могут быть взломаны путем изменения программного обеспечения, работающего на нем, что потенциально позволяет злоумышленникам украсть средства пользователей.
Функция защищенных элементов «эффективно предотвращает любые недорогие аппаратные атаки, в частности сбои напряжения», — заявил Ledger в сообщении от 12 марта.
«Это дает пользователям уверенность в том, что их средства в безопасности, даже если их устройство потеряется или будет украдено».
Однако Ledger обнаружил еще один потенциальный вектор атаки, исходящий от микроконтроллера, другой основной части двухчиповой конструкции Trezor для моделей Safe 3 и 5.
Trezor реализовал проверку целостности прошивки для обнаружения измененного программного обеспечения, но Ledger смог продемонстрировать, что злоумышленник все еще может обойти эту проверку безопасности.
С тех пор эта проблема была решена Trezor — хотя ни Ledger, ни Trezor не объяснили, как это было сделано.
Микроконтроллер Trezor в модели Trezor Safe 3. Источник: Ledger.
Хотя исследователи Ledger выявили уязвимости безопасности, представитель Trezor сообщил, что им не удалось извлечь закрытые ключи или PIN-коды из тестовых устройств Trezor.
Trezor также подтвердил на X, что средства пользователей остаются в безопасности и никаких действий не требуется.
Однако на вопрос, смог ли Trezor исправить эту проблему с помощью прошивки, поставщик аппаратного кошелька ответил: «К сожалению, нет».
«В кибербезопасности золотое правило простое: ничто не может быть полностью неуязвимым. Вот почему мы уже внедрили многоуровневую защиту от атак на цепочки поставок и всегда советуем нашим пользователям приобретать товары из официальных источников».
Ledger также не застрахован от уязвимостей безопасности.
В декабре 2023 года хакер взломал библиотеку коннекторов Ledger и украл криптоактивы на 484 000 долларов.
Другой злоумышленник, взломавший системы Ledger, опубликовал почтовые адреса около 270 000 клиентов Ledger в июне 2020 года.