Trezor усунув недолік безпеки у своїх апаратних гаманцях Safe 3 і Safe 5 після розкриття інформації конкурентом Ledger, який виявив спосіб обійти деякі існуючі контрзаходи Trezor проти атак на ланцюжок поставок.
Trezor відреагував на висновки Ledger щодо безпеки
Постачальник апаратних гаманців Trezor усунув вразливість у своїх моделях Safe 3 і Safe 5 після того, як перевірка безпеки, проведена командою Donjon Ledger, виявила потенційні слабкі місця в двокристальній архітектурі пристроїв. Недолік, описаний як «теоретична» загроза, може бути використаний лише за допомогою складних атак фізичного ланцюжка поставок, які, швидше за все, зачіпають пристрої з других або третіх рук.
Про вразливість стало відомо після того, як Ledger поділився своїми висновками з Trezor, що спричинило публічне розкриття останнім 5 березня
Трезор заявив X.com:
«Ledger Donjon нещодавно оцінив наше сімейство Trezor Safe Family і успішно повторно використав раніше відому атаку, щоб продемонструвати, як можна обійти деякі контрзаходи проти атак на ланцюжок поставок у Trezor Safe 3».
Обхід захисту ланцюжка поставок
Згідно зі звітом Ledger від 12 березня, його дослідницькій групі Donjon вдалося повторно використати відомий метод фізичної атаки, щоб продемонструвати, як криптографічні операції на мікроконтролері моделей Safe 3 і 5 Trezor все ще можуть бути виконані, незважаючи на існуючі гарантії. Мікроконтролер, який працює в парі з мікросхемою захищеного елемента в двокристальній конструкції Trezor, був ідентифікований як новий потенційний вектор атаки.
У той час як Trezor впровадив перевірку цілісності прошивки для виявлення підробленого програмного забезпечення, Ledger продемонстрував, що ці заходи безпеки можна обійти за певних умов. Це вказувало на те, що навіть з мікросхемами захищених елементів, призначеними для блокування недорогих атак, таких як збій напруги, кваліфікований зловмисник потенційно може скомпрометувати пристрій, націлившись на мікроконтролер.
Проблеми з Trezor виправляють і заспокоюють користувачів
Після внутрішньої перевірки висновків Ledger Trezor підтвердив, що вжив заходів для пом'якшення вразливості. У компанії підкреслили, що експлойт не становив безпосередньої небезпеки для користувачів і з їхнього боку не потрібно жодних дій. Вона повторила, що її багаторівневий підхід до безпеки залишається ефективним у захисті від загроз ланцюжка поставок.
У заяві щодо X Trezor визнав невід'ємні проблеми кібербезпеки та зазначив, що, хоча були випущені виправлення прошивки, оновлення програмного забезпечення самі по собі не можуть усунути всі ризики. Компанія порадила користувачам купувати пристрої лише безпосередньо в авторизованих роздрібних продавців, щоб мінімізувати ризик втручання в ланцюжок поставок.
Галузева співпраця над стандартами безпеки
Головний технічний директор Ledger Чарльз Гільме високо оцінив швидку реакцію Trezor, заявивши:
«Підвищення загальної безпеки екосистеми має важливе значення, оскільки ми працюємо над більш широким впровадженням криптовалют і цифрових активів».
Останніми роками Ledger зіткнувся з власними проблемами безпеки. У 2023 році експлойт у бібліотеці конекторів Ledger призвів до втрати криптокоштів у розмірі 484 000 доларів. Окреме порушення у 2020 році скомпрометувало персональні дані понад 270 000 клієнтів.
Відмова від відповідальності: Ця стаття надана лише в інформаційних цілях. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Trezor намагається виправити вразливість, позначену конкурентом Ledger
Trezor усунув недолік безпеки у своїх апаратних гаманцях Safe 3 і Safe 5 після розкриття інформації конкурентом Ledger, який виявив спосіб обійти деякі існуючі контрзаходи Trezor проти атак на ланцюжок поставок.
Trezor відреагував на висновки Ledger щодо безпеки
Постачальник апаратних гаманців Trezor усунув вразливість у своїх моделях Safe 3 і Safe 5 після того, як перевірка безпеки, проведена командою Donjon Ledger, виявила потенційні слабкі місця в двокристальній архітектурі пристроїв. Недолік, описаний як «теоретична» загроза, може бути використаний лише за допомогою складних атак фізичного ланцюжка поставок, які, швидше за все, зачіпають пристрої з других або третіх рук.
Про вразливість стало відомо після того, як Ledger поділився своїми висновками з Trezor, що спричинило публічне розкриття останнім 5 березня
Трезор заявив X.com:
«Ledger Donjon нещодавно оцінив наше сімейство Trezor Safe Family і успішно повторно використав раніше відому атаку, щоб продемонструвати, як можна обійти деякі контрзаходи проти атак на ланцюжок поставок у Trezor Safe 3».
Обхід захисту ланцюжка поставок
Згідно зі звітом Ledger від 12 березня, його дослідницькій групі Donjon вдалося повторно використати відомий метод фізичної атаки, щоб продемонструвати, як криптографічні операції на мікроконтролері моделей Safe 3 і 5 Trezor все ще можуть бути виконані, незважаючи на існуючі гарантії. Мікроконтролер, який працює в парі з мікросхемою захищеного елемента в двокристальній конструкції Trezor, був ідентифікований як новий потенційний вектор атаки.
У той час як Trezor впровадив перевірку цілісності прошивки для виявлення підробленого програмного забезпечення, Ledger продемонстрував, що ці заходи безпеки можна обійти за певних умов. Це вказувало на те, що навіть з мікросхемами захищених елементів, призначеними для блокування недорогих атак, таких як збій напруги, кваліфікований зловмисник потенційно може скомпрометувати пристрій, націлившись на мікроконтролер.
Проблеми з Trezor виправляють і заспокоюють користувачів
Після внутрішньої перевірки висновків Ledger Trezor підтвердив, що вжив заходів для пом'якшення вразливості. У компанії підкреслили, що експлойт не становив безпосередньої небезпеки для користувачів і з їхнього боку не потрібно жодних дій. Вона повторила, що її багаторівневий підхід до безпеки залишається ефективним у захисті від загроз ланцюжка поставок.
У заяві щодо X Trezor визнав невід'ємні проблеми кібербезпеки та зазначив, що, хоча були випущені виправлення прошивки, оновлення програмного забезпечення самі по собі не можуть усунути всі ризики. Компанія порадила користувачам купувати пристрої лише безпосередньо в авторизованих роздрібних продавців, щоб мінімізувати ризик втручання в ланцюжок поставок.
Галузева співпраця над стандартами безпеки
Головний технічний директор Ledger Чарльз Гільме високо оцінив швидку реакцію Trezor, заявивши:
«Підвищення загальної безпеки екосистеми має важливе значення, оскільки ми працюємо над більш широким впровадженням криптовалют і цифрових активів».
Останніми роками Ledger зіткнувся з власними проблемами безпеки. У 2023 році експлойт у бібліотеці конекторів Ledger призвів до втрати криптокоштів у розмірі 484 000 доларів. Окреме порушення у 2020 році скомпрометувало персональні дані понад 270 000 клієнтів.
Відмова від відповідальності: Ця стаття надана лише в інформаційних цілях. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.