في 35 مؤتمر الاتصالات الفوضى (35C3)، وفريق من ثلاثة أشخاص من الشركات الناشئة محفظة فشل يقولون انهم يمكن أن تقتحم محفظة الأجهزة الأكثر شيوعا، وعرض مرحلة من مراحل العملية برمتها. وقال الأجهزة محفظة Trezor الجانب لم القراصنة لا يتوافق مع المعايير والاتفاقات الكشف موثوقة، ويقول المطورين محفظة ليدجر أن هذه المحفظة فشل فريق يعطي الانطباع بأن هناك ثغرات كبيرة في محافظهم، وشدد على أن "ليس صحيحا".
ويمكن أن كسر جميع المحفظة الأجهزة؟
مؤتمر الاتصالات الفوضى هو حدث سنوي، والجمع بين المتسللين، وعلماء الكمبيوتر وخبراء الأمن. المشهد هذا العام 35C3، هناك فريق يسمى محفظة فشل أجرى عرضا لمدة ساعة، وفريق يعتقد أنه يمكن كسر جميع أجهزة تشفير الأجهزة النقدية، بما في ذلك Trezor يجيه وغيرها من محفظة الشهيرة.
(أعضاء فريق محفظة فشل)
يدل محفظة فشل كيفية تحديد نقاط الضعف من خلال تحديث نظام التشغيل، ولكن زعموا أن وجدت بعض المشاكل ميكروكنترولر، نقاط الضعف هذه قد "يتطلب إصدار أجهزة جديدة."
بعض أنواع الهجمات تقديمها على خشبة المسرح، بما في ذلك هجمات البرمجيات. عند بدء تشغيل الجهاز بسرعة، أعلنت المحفظة فشل عدد من المعلومات الخاصة على الشريحة. ويبدو أن هجمات أخرى لتبين لهم كيف يمكن لضعف كبير الأجهزة الداخلية المحفظة، نوع شمل الهجوم تشمل الاعتداء الآثم خادمة (هجوم خادمة الشر)، والهجمات قناة الجانب (جانب قناة الاعتداء) ومجموعة متنوعة من الحيل الهندسية الاجتماعية.
يبين هذا الفيديو محمل الإقلاع لكسر محفظة مخصصة حماية الأجهزة، وتجاوز متحكم، وعدم استخدام صفحات الويب على التفاعل مع المحفظة. في الفيديو، وأظهرت محفظة فشل أيضا ليدجر نانو S، والتي تركيب الهواتف المحمولة نوكيا من لعبة كلاسيكية ثعبان. وبعد عرض لمدة ساعة، انتشر هؤلاء المطورين الفيديو على موقعه الرسمي.
( "Trezor Glitcher" محفظة فشل فريق اخترع الجهاز، مدعيا أن الخصوصية يمكن الحصول على بيانات Trezor)
Trezor وليجيه في استجابة
بعد نشر هذا الفيديو، وردت اثنين من كبرى الشركات المصنعة للبيان فشل الأجهزة محفظة محفظة.
وقال ساتوشي مختبرات CTO بافول روسناك على تويتر لم تخطر شركته وفق المعايير إجراءات الإفصاح عن المعلومات، ولكن "من مرحلة" علمت الثغرات Trezor.
نحن بحاجة الى بعض الوقت لإصلاح هذه الثغرات، فإننا سوف تحل المشكلة من خلال تحديث البرامج الثابتة إلى نهاية يناير كانون الثاني.وقال روسناك حضر أيضا المؤتمر 35C3 وشهدت التظاهرة.
استجابة Trezor في هذا الفيديو:
تذكر، وهذا هو عيب جسدي. وبعبارة أخرى، يجب على المهاجم الحصول على المعدات الخاصة بك. إذا Trezor الخاص بك لا يزال في يديك، يمكنك أن تطمئن إلى أن الاستمرار في استخدام هذا الضعف لا تؤثر عليك.
(محفظة فشل المطور توماس روث التجريبي الوضع الآمن ليدجر)
استجاب فريق محفظة ليدجر أيضا. ليدجر التمثيل، المحفظة فشل فريق يوضح ثلاث ناقلات الهجوم، ليشعر الجمهور هو أن هذه الثغرات الأمنية على محمل الجد. ومع ذلك، فإن الحقيقة هي غير ذلك، المستخدمين لا داعي للقلق حول الضمان المالي جود يدجر بهم.
لم تنجح لاستخراج أي بذور أو PIN. جميع الأصول الحساسة المخزنة على عنصر آمن لا تزال آمنة جدا. نحن بمسؤولية الكشف عن المعلومات هو أفضل وسيلة لحماية المستخدمين النهائيين، ولكن أيضا يمكن أن تضمن سلامة المنتج.تواجه الشركات المصنعة للأجهزة محفظة العديد من التحديات
ليست هذه هي المرة الأولى مصنعي الأجهزة محفظة تحتاج إلى الاستجابة لأولئك الذين يدعون أنهم القراصنة لكسر جميع الأجهزة. عام 2017، في لاس فيغاس، مؤتمر التكنولوجيا كانت هناك مظاهرة لفضح تشفير الأجهزة الضعف محفظة العملات. مارس الماضي، قال الشاب انه ليدجر يمكن العثور عليها في "الباب الخلفي" في التعليمات البرمجية. في ذلك الوقت، واستجابة ليدجر تعطى نفس هذه الهجوم الموجه ليست مهمة، والمفتاح الخاص لا يمكن استخراج.
(محفظة فشل فريق يوضح متجه بسيطة هجوم سلسلة التوريد)
وكالعادة، لا ينبغي لنا أن نؤمن تماما متجه الهجوم، لأن التجربة علمتنا أنه على مدى السنوات القليلة الماضية، ومعظم الهجمات شرطا أساسيا للنجاح هو الحصول على الجهاز، لمهاجم بعيد ويبدو أن صالح. تنبيه ليدجر وTrezor باستخدام المستخدم كلمة السر الثانوي. بعض المشجعين لا تزال العملة التشفير الاجتماعية لم أقترح شدد على أهمية وضع رمز PIN.
