پاسخ کمپانی Trezor به ادعای آسیبپذیری کیفپولهایش که توسط رقیب خود (تیم لجر) بیان شده بود.
چند وقت قبل کمپانی تولید کیفپولهای سختافزاری Ledger با انتشار گزارشی اعلام کرد که توانسته در کیفپولهای شرکت رقیب خود یعنی Trezor چندین آسیبپذیری جدید و حساس پیدا کرده است . حالا کمپانی Trezor نیز با انتشار گزارشی اعلام کرد آسیبپذیریهای اعلام شده تقریبا غیرقابل استفاده هستند.
لجر از ۵ آسیبپذیری در کیف پولهای سختافزاری ترزور خبر داد
کمپانی تولید کنندهی کیفپولهای سختافزاری Trezor به ادعاهای کمپانی Ledger مبنی بر آسیبپذیر بودن کیفپولهای Trezor One و Trezor T پاسخ داد. در تازهترین نمایشگاه Bitcoin Expo که در دانشگاه MIT در شهر بوستون برگزار شد، چارلز گلیمت(Charles Guillemet) افسر ارشد بخش امنیت کمپانی Ledger ادعا کرد که چهار دستگاه از کیفپولهای Trezor توسط محققین این شرکت کاملا شکسته شده و آنها توانسته پس از عبور از بخشهای امنیتی به داراییهای آنها دسترسی پیدا کنند. کمپانی Ledger پس از مدتی با انتشار یک گزارش با نام «امنیت مشترک ما اعلام کرد که توانسته پنج آسیبپذیری کلیدی در محصولات کمپانی رقیب خود یعنی Trezor پیدا کند.
یک روز پس از آنکه کمپانی لجر گزارش خود را منتشر کرد، کمپانی Trezor نیز به اظهارات رقیب خود پاسخ داد و گزارشاتی با نام “پاسخ ما به یافتههای Ledger در گردهمایی MIT Bitcoin Expo” منتشر کرد.
کمپانی Trezor گفت حملات اشاره شده توسط کمپانی رقیب اصلا قابل بهرهبرداری نیستند. در بخشهای دیگری از این گزارش آمده است:
ما میخواهیم تا این واقعیت را مشخص کنیم که هیچ یک از حملات گفته شده قابل بهرهبرداری به صورت از راه دور نیستند. تمام روشهای حملهی نشان داده شده توسط Ledger نیاز به دسترسی فیزیکی به کیفپولهای شما، تجهیزات تخصصی، زمان و تخصص فنی دارند.
در گزارشات کمپانی Ledger آسیبپذیریهای سوم، چهارم و پنجم مربوط به دادهها و هک شدن کلیدهای خصوصی است که نیازمند دسترسی فیزیکی به کیفپولهای Trezor است.
گزارشات کمپانی Trezor که برگرفته شده از گزارش صرافی بایننس (Binance) است اعلام میکند که تنها ۵/۹۳ درصد از حملات مربوط به حملات فیزیکی و دزدی هستند، در حالی که ۶۶ درصد حملات به صورت از راه دور اتفاق میافتد. در تحقیقات کمپانی Trezor گفته شده مشتریانی که از حملات فیزیکی واهمه دارند، میتوانند از «کلمات کلیدی عبور یا Passphrase» استفاده کنند.
کمپانی Trezor در ادامه اظهار می کند که مقابله با حملات از راه دور اصلیترین هدف این کمپانی در زمان تولید کیفپولهای سختافزاری بوده است.
هدف اصلی تولید کیفپولهای سختافزاری جلوگیری از به سرقت رفتن دارایی کاربران در مقابل حملات بدافزاری، ویروسهای کامپیوتری و دیگر خطرات از راه دور (مانند سرقت تمام داراییهای ذخیره شده در کیفپولهای Ledger با استفاده از تغییر آدرس مخفی یا Stealth) بوده است.
کمپانی Ledger همچنین ادعا کرده بود که میتوان یگپارچکی کیف پول های سختافزاری Trezor را تقلید و یک نمونهی تقلبی از آنها ساخت. کمپانی Trezor نیز دراین رابطه اینگونه توضیح داد:
هیچ راهی وجود ندارد که یک قطعهی سختافزاری بتواند خودش و یکپارچگی اش را ببرسی کند. تاییدیهی سختافزاری یک راهحل برای این مشکل نیست، زیرا میتوان با ایجاد تغییرات سختافزاری در این دستگاهها کاری کرد که اصل بودن آنها تایید شود.
کمپانی Trezor با اشاره به ادعای Ledger مبنی بر آسیبپذیری در برابر حملات Side-Channel اظهار کرد که این آسیبپذیری توسط «روش Back-Porting و نحوهی ذخیرهسازی دادههای آن» در کیفپولهای Trezor One و Trezor T برطرف شده است.
این کمپانی در ادامه توضیح داد هنگامی که آسیبپذیری مربوط به رمزعبور یا PIN رفع شود، استخراج کلید مخفی با استفاده از روشهای ضرب مقیاس Side-Channel نیز اصلاح خواهد شد.
کمپانی Trezor همچون اعلام کرد که Ledger از آنها خواسته که به دلیل پیامدهای گستردهای که ممکن است برای صنعت تولید میکرو تراشهها (Microchip) به همراه داشته باشد، از ارائهی هرگونه نتیجهگیری بپرهیزد. این کمپانی افزود که Ledger از ارائهی اطلاعات بیشتر در این مورد خودداری کرد.
در نهایت کمپانی Trezor از کاربران خود خواست تا برای افزایش امنیت داراییهای خود از روش محافظت به وسیلهی کلمات کلیدی و قراردادن چندین کلمهی کلیدی برای دستگاههای خود استفاده کنند. مارک پالاتینوس(Marek Palatinus) مدیرعامل بخش تحقیقاتی SatoshiLabs و سازندهی کیفپولهای سختافزاری کمپانی Trezor نتیجه گرفت:
ما میخواهیم از کمپانی Ledger برای تشریح این نوع حملات که از زمان طراحی کیفپولهای Trezor از آنها اطلاع داشتیم، تشکر کنیم. از آنجایی که ما متوجه هستیم هیچ دستگاه سختافزاری به صورت ۱۰۰ درصد امن نیست، ما مفهوم کلمات کلیدی بازیابی حساب(Passphrase) را معرفی کردیم، که علاوه بر واکنشپذیریهای احتمالی بسیاری از انواع حملات فیزیکی دیگر مانند این موارد را رفع میکند.
پاسخ ترزور به ادعای رقیب خود

کمپانی Trezor با انتشار تصویر بالا اعلام کرد که آسیب پذیری های اعلام شده توسط کمپانی Ledger با استفاده از بروزرسانیهای امنیتی و دیگر روشهای ممکن، برطرف شدهاند.
منبع:ambcrypto
Short link : https://arzmonitor.com/?p=4492