Các nhà nghiên cứu thuộc Ledger Donjon đã công bố một lỗ hổng bảo mật trên các thẻ ví phần cứng Tangem cho phép kẻ tấn công đặt lại mật khẩu của thẻ thông qua tấn công tiêm lỗi bằng laser. Cuộc tấn công nhắm vào firmware Tangem chạy trên phần tử bảo mật EAL6+ và vượt qua một kiểm tra firmware xác minh liệu thẻ có đang ở trạng thái khôi phục được ủy quyền hay không, từ đó khiến lệnh SetPin chấp nhận mật khẩu mới mà không cần mật khẩu hiện tại hoặc thẻ sao lưu. Lỗ hổng được thông báo cho Tangem vào tháng 2 và ảnh hưởng đến tất cả các thẻ Tangem đang được lưu hành, vì các thẻ không có cơ chế cập nhật firmware và không thể vá thông qua cập nhật phần mềm. Điểm khai thác đòi hỏi phải có sở hữu vật lý thẻ, thiết bị tiêm lỗi laser chuyên dụng trị giá khoảng 250.000 USD, các công cụ phân tích kênh kề (side-channel) và chuyên môn về an ninh phần cứng, khiến đây là vectơ tấn công theo kiểu vật lý chứ không phải tấn công từ xa. Phát hiện này nhấn mạnh các thách thức đang diễn ra trong bảo mật ví phần cứng, nơi chứng nhận phần tử bảo mật không loại bỏ hết rủi ro firmware, đặc biệt đối với các thiết bị không có khả năng cập nhật.
Các nhà nghiên cứu đã chuẩn bị thẻ bằng cách phơi bày phần tử bảo mật và kết nối nó với phần cứng tùy chỉnh, sau đó sử dụng một xung laser nano giây để nhắm vào một khu vực cụ thể trên chip. Việc tiêm lỗi bằng laser khiến firmware bỏ qua hoặc vượt qua bước xác thực trạng thái khôi phục vốn phải bảo vệ cho các thay đổi mật khẩu. Khi đó, kẻ tấn công có thể đặt mật khẩu mới cho thẻ mà không cần biết mật khẩu gốc.
Sau khi mật khẩu được đặt lại, kẻ tấn công có thể dùng thẻ để ký các giao dịch, nghĩa là các khoản tiền gắn với ví có thể bị chuyển đi nếu kẻ tấn công đã thành công trong việc xâm nhập thẻ. Ledger Donjon đã tái hiện cuộc tấn công trên một thẻ Tangem thứ hai và thứ ba sau lần trình diễn ban đầu, với mỗi lần mất khoảng 2 giờ chuẩn bị và khai thác.
Cuộc tấn công mang tính xâm lấn và đòi hỏi thiết bị phòng thí nghiệm, làm hạn chế khả năng sử dụng hàng ngày. Nó không thể thực hiện qua lừa đảo (phishing), mã độc (malware), điện thoại bị xâm nhập hoặc tấn công từ xa qua mạng. Kẻ tấn công phải có thẻ vật lý và đủ thời gian để thực hiện công việc ở mức chip.
Ledger Donjon nhấn mạnh điều này trong tuyên bố của mình: "Điều này có nghĩa gì cho người dùng: không có bản vá, nhưng cuộc tấn công mang tính vật lý và xâm lấn nên không thể thực hiện một cách lén lút, và thẻ trả lại vẫn nguyên vẹn. Rủi ro thực sự duy nhất là thẻ bị mất hoặc bị đánh cắp; nếu thẻ vẫn nằm trong tay bạn, cuộc tấn công mô tả ở đây không thể thực hiện."
Các nhà nghiên cứu cho biết hệ thống phòng thí nghiệm của Ledger Donjon tốn khoảng 250.000 USD. Đối với người dùng và nhà cung cấp dịch vụ lưu ký, điểm phơi nhiễm chính là các thẻ ví bị mất, bị đánh cắp hoặc không được trông coi, thay vì bị xâm nhập từ xa. Phản ứng phù hợp nhất là giữ thẻ vật lý an toàn, coi thẻ mất là đã bị xâm nhập, và chuyển tiền nếu thẻ rời khỏi quyền kiểm soát của chủ sở hữu.
Tangem phản đối ý nghĩa thực tiễn của các phát hiện. Công ty cho biết cuộc tấn công đòi hỏi thiết bị phòng thí nghiệm đắt tiền, phải có sở hữu vật lý thẻ và chuyên môn đặc thù, khiến rủi ro đối với người dùng hàng ngày "hầu như không tồn tại".
Tangem cũng chỉ ra mối quan hệ doanh nghiệp của Ledger Donjon, nói: "Cũng đáng lưu ý rằng trong khi Ledger Donjon tự giới thiệu là một đơn vị nghiên cứu độc lập, thì nó hoạt động trong Ledger, một trong những đối thủ cạnh tranh lớn nhất của chúng tôi. Các phát hiện của họ nên được hiểu theo ý đó. Với đủ thời gian, kinh phí và quyền truy cập, firmware trên bất kỳ phần tử bảo mật nào cuối cùng cũng có thể bị phân tích ngược và khai thác."
Phản hồi này không trực tiếp loại bỏ vấn đề kỹ thuật, nhưng định hình lỗ hổng như một cuộc tấn công vật lý có xác suất thấp hơn là một tình huống khẩn cấp về an ninh người tiêu dùng. Với Tangem, thách thức cốt lõi là các thẻ không thể vá, buộc công ty phải dựa vào truyền thông rủi ro, các thay đổi sản phẩm trong tương lai và hướng dẫn người dùng thay vì phát hành bản vá firmware.
Thông báo của Tangem làm nổi bật một vấn đề rộng hơn đối với các nhà sản xuất ví phần cứng: tấn công vật lý có thể hiếm, nhưng vẫn quan trọng vì ví phần cứng được thiết kế để bảo vệ tài sản giá trị cao trong môi trường thù địch. Các nhà cung cấp ví phải cân nhắc giữa tính dễ sử dụng, khả năng khôi phục, thiết kế phần tử bảo mật và xác thực firmware.
Ledger Donjon cho biết phát hiện này cho thấy chứng nhận phần tử bảo mật không loại bỏ hoàn toàn rủi ro firmware, lưu ý rằng chứng nhận EAL6+ chỉ riêng nó không ngăn được các cuộc tấn công tiêm lỗi nếu firmware có lỗi logic có thể bị khai thác. Các nhà nghiên cứu khuyến nghị firmware phần tử bảo mật nên sử dụng nhiều cơ chế kiểm tra độc lập cho các thao tác nhạy cảm, tăng cường xác thực trạng thái, và bảo vệ các thay đổi mật khẩu khi tính năng khôi phục bị tắt.
Ledger Donjon cũng cho biết họ đã từng phát hiện một trường hợp vượt qua kiểm tra hợp lệ trong ứng dụng Tangem Android và một cuộc tấn công brute-force vào giao thức xác thực của thẻ. Đối với nhà đầu tư, sàn giao dịch, bên lưu ký và người nắm giữ dài hạn, ví phần cứng giảm thiểu rủi ro trực tuyến, nhưng không loại bỏ rủi ro khi lưu giữ vật lý. Các thiết bị không thể cập nhật firmware có thể cần các chính sách xử lý chặt chẽ hơn, đặc biệt khi chúng bảo vệ số dư tài sản hoặc quỹ của tổ chức.
Lỗ hổng nào mà Ledger Donjon phát hiện trên các thẻ ví phần cứng Tangem?
Các nhà nghiên cứu của Ledger Donjon đã công bố một lỗ hổng bảo mật cho phép kẻ tấn công đặt lại mật khẩu của thẻ Tangem thông qua tấn công tiêm lỗi bằng laser nhắm vào phần tử bảo mật EAL6+. Cuộc tấn công vượt qua kiểm tra firmware xác minh thẻ có đang trong trạng thái khôi phục được ủy quyền hay không, từ đó cho phép thay đổi mật khẩu mà không cần mật khẩu hiện tại hoặc thẻ sao lưu. Lỗ hổng ảnh hưởng đến tất cả các thẻ Tangem đang lưu hành và không thể vá vì các thẻ không có cơ chế cập nhật firmware.
Chi phí để thực hiện cuộc tấn công này trên các thẻ Tangem là bao nhiêu?
Cuộc tấn công cần thiết bị tiêm lỗi laser chuyên dụng, công cụ phân tích kênh kề và chuyên môn về an ninh phần cứng. Ledger Donjon cho biết hệ thống phòng thí nghiệm của họ tốn khoảng 250.000 USD. Mỗi lần khai thác cần khoảng 2 giờ chuẩn bị và thực hiện.
Tangem đã phản hồi như thế nào về việc công bố lỗ hổng?
Tangem phản đối ý nghĩa thực tiễn của các phát hiện, nói rằng cuộc tấn công đòi hỏi thiết bị phòng thí nghiệm đắt tiền, phải có sở hữu vật lý thẻ và chuyên môn đặc thù, khiến rủi ro đối với người dùng hàng ngày "hầu như không tồn tại". Công ty cũng chỉ ra rằng Ledger Donjon hoạt động trong Ledger, một đối thủ cạnh tranh lớn của Tangem, và khẳng định rằng với đủ thời gian, kinh phí và quyền truy cập, firmware của bất kỳ phần tử bảo mật nào cũng có thể bị phân tích ngược và khai thác.
Tin tức liên quan
Tin tặc sử dụng blockchain TON để tránh bị phát hiện bởi phần mềm độc hại bằng các phần mềm hợp pháp
Quỹ Ethereum sử dụng các tác nhân AI để phát hiện các lỗ hổng bảo mật mạng
Nhà giao dịch mất 1 triệu USD trong vụ tấn công lừa đảo Permit2 của Uniswap