Trezor пытается исправить уязвимость, отмеченную конкурирующим Ledger

Trezor устранил уязвимость в безопасности своих аппаратных кошельков Safe 3 и Safe 5 после раскрытия информации конкурентом Ledger, который раскрыл способ обойти некоторые из существующих контрмер Trezor против атак на цепочку поставок.

Trezor ответил на выводы Ledger о безопасности

Поставщик аппаратных кошельков Trezor устранил уязвимость в своих моделях Safe 3 и Safe 5 после того, как проверка безопасности, проведенная командой Donjon из Ledger, выявила потенциальные слабые места в двухчиповой архитектуре устройств. Уязвимость, описанная как «теоретическая» угроза, может быть использована только с помощью сложных физических атак на цепочку поставок, которые, скорее всего, затронут подержанные или третьи устройства.

Об уязвимости стало известно после того, как Ledger поделился своими выводами с Trezor, что привело к публичному раскрытию информации последним 5 марта

Трезор заявил X.com:

«Ledger Donjon недавно оценил наше семейство Trezor Safe и успешно повторно использовал ранее известную атаку, чтобы продемонстрировать, как можно обойти некоторые контрмеры против атак на цепочку поставок в Trezor Safe 3».

Обход защиты цепочки поставок

Согласно отчету Ledger от 12 марта, его исследовательская группа Donjon сумела повторно использовать известный метод физической атаки, чтобы продемонстрировать, как криптографические операции на микроконтроллере моделей Trezor Safe 3 и 5 все еще могут выполняться, несмотря на существующие меры безопасности. Микроконтроллер, который работает в тандеме с чипом защищенного элемента в двухкристальной конструкции Trezor, был идентифицирован как новый потенциальный вектор атаки.

В то время как Trezor внедрил проверку целостности прошивки для обнаружения взломанного программного обеспечения, Ledger продемонстрировал, что эти меры безопасности могут быть обойдены при определенных условиях. Это указывает на то, что даже с чипами защищенных элементов, предназначенными для блокировки недорогих атак, таких как сбой напряжения, опытный злоумышленник потенциально может скомпрометировать устройство, нацелившись на микроконтроллер.

Trezor исправляет проблемы и успокаивает пользователей

После внутреннего анализа выводов Ledger компания Trezor подтвердила, что приняла меры по устранению уязвимости. В компании подчеркнули, что эксплойт не представляет непосредственной опасности для пользователей и никаких действий с их стороны не требуется. Компания подтвердила, что ее многоуровневый подход к обеспечению безопасности остается эффективным в защите от угроз цепочки поставок.

В заявлении на X Trezor признал неотъемлемые проблемы в кибербезопасности и отметил, что, хотя были выпущены патчи прошивки, обновления программного обеспечения сами по себе не могут устранить все риски. Компания посоветовала пользователям приобретать устройства только непосредственно у авторизованных розничных продавцов, чтобы свести к минимуму риск вмешательства в цепочку поставок.

Отраслевое сотрудничество по стандартам безопасности

Технический директор Ledger Чарльз Гийме (Charles Guillemet) высоко оценил оперативную реакцию Trezor, заявив:

«Повышение общей безопасности экосистемы имеет важное значение, поскольку мы работаем над более широким внедрением криптовалют и цифровых активов».

В последние годы Ledger столкнулся с собственными проблемами безопасности. В 2023 году эксплойт в библиотеке коннекторов Ledger привел к потере криптофондов в размере 484 000 долларов. В 2020 году в результате другой утечки были скомпрометированы персональные данные более 270 000 клиентов.

Отказ от ответственности: Эта статья предоставлена только в информационных целях. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или иной консультации.