Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger

27 декабря на мероприятии Chaos Communication Congress в Лейпциге команда исследователей кибербезопасности wallet.fail продемонстрировала серию успешных атак на популярные аппаратные крипто-кошельки Trezor и Ledger.

«Атаки, которые мы осуществляем на аппаратные кошельки, варьируются от взлома защиты проприетарного загрузчика до взлома веб-интерфейса, используемого для взаимодействия с кошельками, и физических атак, в том числе установки преград для обхода встроенной защиты микропроцессоров, – пишут они на своём сайте. – Изучение нескольких кошельков в широком контексте показало наличие симметричных и повторяющихся проблем».

Как объяснил разработчик Parity Technologies Афри Шедон, также присутствовавший на демонстрации, исследователям удалось успешно провести следующие типы атак:

• Извлечение PIN-кода и мнемонического ядра из RAM Trezor;
• Удалённое подписание транзакций с помощью взломанного Ledger Nano S;
• Перехват PIN-кода Ledger Blue;
• Взлом загрузчика Ledger Nano S.

Также wallet.fail назвали пять типов уязвимостей, на которые могут быть направлены атаки против пользователей аппаратных кошельков:

• Архитектурный вектор;
• Вектор прошивки;
• Аппаратный вектор;
• Физический вектор;
• Программный вектор.

«Представленные нами уязвимости ранжируются от тех, которые могут быть устранены на уровне прошивки, до багов, которые требуют изменения аппаратной составляющей, и тех, которые затрагивают микропроцессоры, что требует их полной замены», – отметили исследователи, подчеркнув, что для осуществления всех описанных типов атак злоумышленнику сначала потребуется завладеть самим аппаратным кошельком пользователя.

Фото: Robson90

Источник: ttrcoin.com