پاسخ کمپانی Trezor به ادعای آسیب‌پذیری کیف‌پول‌هایش

پاسخ کمپانی Trezor به ادعای آسیب‌پذیری کیف‌پول‌هایش که توسط رقیب خود (تیم لجر) بیان شده بود.

چند وقت قبل کمپانی تولید کیف‌پول‌های سخت‌افزاری Ledger با انتشار گزارشی اعلام کرد که توانسته در کیف‌پول‌های شرکت رقیب خود یعنی Trezor چندین آسیب‌پذیری جدید و حساس پیدا کرده است . حالا کمپانی Trezor نیز با انتشار گزارشی اعلام کرد آسیب‌پذیری‌های اعلام شده تقریبا غیرقابل استفاده هستند.

لجر از ۵ آسیب‌پذیری در کیف پول‌های سخت‌افزاری ترزور خبر داد

کمپانی تولید کننده‌ی کیف‌پول‌های سخت‌افزاری Trezor به ادعاهای کمپانی Ledger مبنی بر آسیب‌پذیر بودن کیف‌پول‌های Trezor One و Trezor T پاسخ داد. در تازه‌ترین نمایشگاه Bitcoin Expo که در دانشگاه MIT در شهر بوستون برگزار شد، چارلز گلیمت(Charles Guillemet) افسر ارشد بخش امنیت کمپانی Ledger ادعا کرد که چهار دستگاه از کیف‌پول‌های Trezor توسط محققین این شرکت کاملا شکسته شده و آن‌ها توانسته‌ پس از عبور از بخش‌های امنیتی به دارایی‌های آن‌ها دسترسی پیدا کنند. کمپانی Ledger پس از مدتی با انتشار یک گزارش با نام «امنیت مشترک ما اعلام کرد که توانسته پنج آسیب‌پذیری کلیدی در محصولات کمپانی رقیب خود یعنی Trezor‌ پیدا کند.

یک روز پس از آنکه کمپانی لجر گزارش خود را منتشر کرد، کمپانی Trezor نیز به اظهارات رقیب خود پاسخ داد و گزارشاتی با نام “پاسخ ما به یافته‌های Ledger در گردهمایی MIT Bitcoin Expo” منتشر کرد.

کمپانی Trezor گفت حملات اشاره شده توسط کمپانی رقیب اصلا قابل بهره‌برداری نیستند. در بخش‌های دیگری از این گزارش آمده است:

ما می‌خواهیم تا این واقعیت را مشخص کنیم که هیچ‌ یک از حملات گفته شده قابل بهره‌برداری به صورت از راه دور نیستند. تمام روش‌های حمله‌ی نشان داده شده توسط Ledger نیاز به دسترسی فیزیکی به کیف‌پول‌های شما، تجهیزات تخصصی، زمان و تخصص فنی دارند.

در گزارشات کمپانی Ledger آسیب‌پذیری‌های سوم، چهارم و پنجم مربوط به داده‌ها و هک شدن کلید‌های خصوصی است که نیازمند دسترسی فیزیکی به کیف‌پول‌های Trezor است.

گزارشات کمپانی Trezor که برگرفته شده از گزارش صرافی بایننس (Binance) است اعلام می‌کند که تنها ۵/۹۳ درصد از حملات مربوط به حملات فیزیکی و دزدی هستند، در حالی که ۶۶ درصد حملات به صورت از راه‌ دور اتفاق می‌افتد. در تحقیقات کمپانی Trezor گفته شده مشتریانی که از حملات فیزیکی واهمه دارند، می‌توانند از «کلمات کلیدی عبور یا Passphrase» استفاده کنند.

کمپانی Trezor در ادامه اظهار می کند که مقابله با حملات از راه دور اصلی‌ترین هدف این کمپانی در زمان تولید کیف‌پول‌های سخت‌افزاری بوده است.

هدف اصلی تولید کیف‌پول‌های سخت‌افزاری جلوگیری از به سرقت رفتن دارایی کاربران در مقابل حملات بد‌افزاری، ویروس‌های کامپیوتری و دیگر خطرات از راه دور (مانند سرقت تمام دارایی‌های ذخیره شده در کیف‌پول‌های Ledger‌ با استفاده از تغییر آدرس مخفی یا Stealth) بوده است.

کمپانی Ledger همچنین ادعا کرده بود که می‌توان یگپارچکی کیف پول های سخت‌افزاری Trezor را تقلید و یک نمونه‌ی تقلبی از آن‌ها ساخت. کمپانی Trezor نیز دراین رابطه اینگونه توضیح داد:

هیچ راهی وجود ندارد که یک قطعه‌ی سخت‌افزاری بتواند خودش و یکپارچگی اش را ببرسی کند. تاییدیه‌ی سخت‌افزاری یک راه‌حل برای این مشکل نیست، زیرا می‌توان با ایجاد تغییرات سخت‌افزاری در این دستگاه‌ها کاری کرد که اصل بودن آن‌ها تایید شود.

کمپانی Trezor با اشاره به ادعای Ledger مبنی بر آسیب‌پذیری در برابر حملات Side-Channel اظهار کرد که این آسیب‌پذیری توسط «روش Back-Porting و نحوه‌ی ذخیره‌سازی داده‌های آن» در کیف‌پول‌های Trezor One و Trezor T برطرف شده است.

این کمپانی در ادامه توضیح داد هنگامی که آسیب‌پذیری مربوط به رمزعبور یا PIN رفع شود، استخراج کلید مخفی با استفاده از روش‌های ضرب مقیاس Side-Channel نیز اصلاح خواهد شد.

کمپانی T‌rezor همچون اعلام کرد که Ledger‌ از آن‌ها خواسته که به دلیل پیامد‌های گسترده‌ای که ممکن است برای صنعت تولید میکرو تراشه‌ها (Microchip) به همراه داشته باشد، از ارائه‌ی هرگونه نتیجه‌گیری بپرهیزد. این کمپانی افزود که Ledger از ارائه‌ی اطلاعات بیشتر در این مورد خودداری کرد.

در نهایت کمپانی Trezor‌ از کاربران خود خواست تا برای افزایش امنیت دارایی‌های خود از روش محافظت به وسیله‌ی کلمات کلیدی و قراردادن چندین کلمه‌ی کلیدی برای دستگاه‌های خود استفاده کنند. مارک پالاتینوس(Marek Palatinus) مدیرعامل بخش تحقیقاتی SatoshiLabs و سازنده‌ی کیف‌پول‌های سخت‌افزاری کمپانی Trezor‌ نتیجه گرفت:

ما می‌خواهیم از کمپانی Ledger برای تشریح این نوع حملات که از زمان طراحی کیف‌پول‌های Tr‌ezor از آن‌ها اطلاع داشتیم، تشکر کنیم. از آنجایی که ما متوجه هستیم هیچ دستگاه سخت‌افزاری به صورت ۱۰۰ درصد امن نیست، ما مفهوم کلمات کلیدی بازیابی حساب(Passphrase) را معرفی کردیم، که علاوه بر واکنش‌پذیری‌های احتمالی بسیاری از انواع حملات فیزیکی دیگر مانند این موارد را رفع می‌کند.

پاسخ ترزور به ادعای رقیب خود

کمپانی Trezor با انتشار تصویر بالا اعلام کرد که آسیب پذیری های اعلام شده توسط کمپانی Ledger با استفاده از بروزرسانی‌های امنیتی و دیگر روش‌های ممکن، برطرف شده‌اند.

منبع:ambcrypto

Short link : https://arzmonitor.com/?p=4492