La cel de al 35-lea Chaos Communication Congress, trei cercetatori si ingineri au publicat o prezentare care dezvaluie vulnerabilitatile din wallet-urile pentru criptomonede Trezor si Ledger au facut un anunt scurt, in care spun ca banii clientilor lor sunt in siguranta.
Dmitry Nedospasov, Thomas Roth, si Josh Datko au creat site-ul wallet.fail si au promis sa publice online prezentarea dupa eveniment. La nici 24 de ore de la publicarea prezentarii, doua companii din domeniu au raspuns.
Ledger a raspuns printr-o postare pe blog in care spune ca desi se bucura ca utilizatorii sunt preocupati de securitate, “prezentarea contine trei forme de atac care ar putea da impresia unor vulnerabilitati pe dispozitivele Ledger, insa acest lucru nu este adevarat”.
In ciuda faptului ca cei trei cercetatori au declarat ca sunt implicati in piata criptomonedelor, Ledger a adaugat:
“In lumea securitatii digitale, de regula, aceste lucruri sunt publicate responsabil. Regretam ca cercetatorii nu au procedat conform standardelor de securitate propuse in programul Recompense Ledger.”
Ledger considera ca cei trei cercetatori nu au furnizat vulnerabilitati practice.
In primul rand, cei trei au folosit un tip de atac care modifica wallet-ul fizic, si au infectat cu un malware PC-ul celui care detine criptomonedele, considerand ca exista un potential atacator in camera alaturata care ar putea introduce remote un PIN fals si ar putea lansa aplicatia.
“Acest tip de atac nu este practic, iar un hacker motivat ar folosi trucuri mai eficiente”.
In al doilea rand:
“Au incercat sa genereze un atac in lant asupra MCU, dar nu au avut succes. MCU administreaza interfata, dar nu are acces la PIN, care este stocat in Elementul Securizat.”
Cu toate acestea, Ledger admite ca exista un bug in functia de actualizare, care le-a permis cercetatorilor sa lege programe de wallet. Ledger spune ca acest bug a fost rezolvat pentru urmatoarea versiune de firmware, dar si ca acesta nu permite nimic mai mult decat acces la interfata JTAG. Cercetatorii nu au putut accesa fondurile cripto.
In ultimul rand, pentru wallet-ul Ledger Blue, cercetatorii au masurat undele radio cand PIN-ul este introdus, iar aceasta tactica ar putea permite atacatorului sa calculeze codul de securitate. Ledger spune ca acest tip de atac este interesant, dar in conditii reale ar insemna ca un dispozitiv trebuie sa ramana complet nemiscat in timp ce undele sunt inregistrate, ceea ce este putin probabil.
Se pare ca Ledger a luat in calcul, deja, un astfel de atac:
“Am implementat deja o tastatura random pentru PIN pe Ledger Nano S, si aceeasi imbunatatire este programata si pentru urmatorul update al Ledger Blue.”
Trezor: Daca ai un dispozitiv, continua sa il folosesti
Desi se pare ca Trezor lucreaza cu informatiile pe masura ce acestea apar, compania recunoaste recunoaste una dintre vulnerabilitati, insa sustine ca a fost identificata deja:
“Un atacator ar avea nevoie de acces fizic la dispozitiv. Daca dispozitivul se afla in posesia ta, poti continua sa il folosesti fara a te teme de aceasta slabiciune.”
Trezor spune ca utilizatorii ingrijorati pot folosi functia “passphrase”, dar ca pierderea passphrase-ului va duce la pierderea fondurilor.
“In ceea ce priveste aceasta prezentare, nu am fost informati cu privire la continut inainte, asa ca lucram cu informatiile pe masura ce acestea apar. Vom reveni cu detalii curand.”, au scris cei de la Trezor pe Twitter.
Se pare ca cercetatorii au descoperit cateva slabiciuni, insa acestea sunt putin probabil sa fie exploatate. Trezor si Ledger sunt cu un pas inainte in identificarea vulnerabilitatilor, si gata sa le raspunda celor gasesc astfel de slabiciuni, chiar daca acestea nu sunt raportate prin mijloacele puse la dispozitie de cele doua companii.
Ledger a vandut peste un milion de wallet-uri in 2017, si ramane liderul industriei, cu numeroase parteneriate incheiate in ultimul timp. Trezor continua sa isi dezvolte wallet-urile, adaugand de curand suport pentru Ethereum.