لجر از ۵ آسیب‌پذیری در کیف پول‌های سخت‌افزاری ترزور خبر داد

لجر از ۵ آسیب‌پذیری در کیف پول‌های سخت‌افزاری ترزور خبر داد

طبق گزارش منتشر شده در ۱۱ مارس، سازنده کیف پول‌های سخت‌افزاری لجر از آسیب‌پذیری‌های موجود در دستگاه‌های رقیب خود یعنی شرکت ترزور خبر داد.

تا کنون هیچ پاسخی از سوی ترزور مبنی بر صحت یافته‌های لجر به منتشر نشده است.

این مطالعه نشان می دهد که آسیب‌پذیری‌های گفته شده توسط Attack Lab (آزمایشگاه امنیتی) پیدا شده است. Attack Lab بخشی از شرکت لجر است که در آن به دستگاه‌های خود و همچنین رقبایشان نفوذ می‌کنند تا عملکرد آن‌ها را از نظر امنیتی بهبود بخشند.لجر ادعا می کند به طور مکرر در مورد نقاط ضعف (Trezor One) و (Trezor T) هشدار داده و در نهایت تصمیم گرفته تا این نقاط ضعف امنیتی را پس از اتمام دوره افشاسازی عمومی سازد.

اولین آسیب پذیریمربوط به تایید اصالت دستگاه‌ است. براساس گفته‌های تیم لجر، امکان ایجاد backdoor در دستگاه‌های ترزور با انجام همانندسازی با بدافزار، سپس بستن دوباره جعبه دستگاه و چسباندن برچسب دستکاری نشده‌ای که طبق گزارش‌ها برداشتن آن کاری ندارد، بر روی دستگاه‌های ترزور وجود دارد.تیم لجر اعلام کرده که این آسیب‌پذیری با بررسی دقیق طراحی کیف پول‌های ترزور و به خصوص جایگزینی یکی از اجزای اصلی‌اش با یک تراشه عنصر امن قابل برطرف کردن است.

دومین آسیب‌ پذیری مربوط به حدس زدن پین کیف پول‌های سخت افزاری ترزور با استفاده از حمله کانال جانبی (Side-Channel attack) بود که لجر آن را اواخر نوامبر ۲۰۱۸ به ترزور گزارش کرده بود. این شرکت در بروزرسانی‌های سفت‌افزار ۱.۸.۰ این مشکل را حل کرد.

لجر برای حل آسیب‌پذیری‌های سوم و چهارم که امکان دزدیده شدن اطلاعات محرمانه را فراهم می کند، پیشنهاد جایگزینی تراشه اصلی با یک تراشه امن را داده است. لجر همچنین اعلام کرده که در صورت دسترسی فیزیکی مهاجم به دستگاه‌های ترزور وان و ترزور تی، او می‌تواند تمامی اطلاعات حساس را از حافظه‌اش بیرون کشیده و دارایی‌های ذحیره شده در دستگاه را کنترل کند.

آخرین آسیب‌پذیری کشف شده نیز مربوط به مدل امنیتی ترزور است. طبق گفته های لجر، کتابخانه رمزنگاری Trezor one شامل اقدامات مناسب امنیتی در برابر حملات سخت‌افزاری نیست. همچنین لجر مدعی شده است که یک هکر با دسترسی فیزیکی به دستگاه می‌تواند کلید محرمانه را از طریق حمله کانال جانبی به دست آورد؛ گرچه ترزور ادعا می کند کیف پول‌های آن در مقابل این حملات مقاوم است.

در ماه نوامبر ۲۰۱۸، شرکت ترزور هشدار داد که منبع نامشخصی دستگاه‌های تقلبی ترزور وان را توزیع می‌کند وبه نظر می رسد این کار از کشور چین در حال انجام است. از این رو ترزور به خریداران خود هشدار داد که تنها از سایت رسمی ترزور اقدام به خرید کیف پول‌های این شرکت کنند.

با این حال در گزارش اخیر لجر ادعا می کند که کاربران حتی در هنگام خرید از سایت رسمی ترزور نیز نمی توانند مطمئن باشند که دستگاه خریداری شده امن است. مهاجم می‌تواند چندین دستگاه از شرکت ترزور بخرد، BackDoor را روی تمامی آن‌ها کار گذاشته و آن‌ها را برای استرداد دوباره به شرکت تولیدکننده می فرستد. در صورت فروخته شدن دوباره این دستگاه، طبق نتیجه‌گیری لجر، سرمایه کاربر می‌تواند دزدیده شود.

در ماه نوامبر سال گذشته، تیم تحقیقاتی پروژه هکینگ Wallet.fail نشان دادند که چگونه دستگاه‌های ترزور وان، لجر نانو اس و لجر بلو را در کنفرانس Chaos Communication Congress هک کرده‌اند. هر دو شرکت سازنده کیف پول سخت‌افزاری ترزور و لجر پس آن اعلام کردند که متوجه آسیب‌پذیری‌های موجود شده‌اند. تروز برای این آسیب‌پذیری‌ها یک بروزرسانی منتشر کرد اما لجر دراین باره افزود که آسیب‌پذیری‌های کشف شده برای کیف پول‌های این شرکت مسئله مهمی نیست.

منیع:cointelegraph

Short link : https://arzmonitor.com/?p=4483