کمپانی Trezor
اخبار ارز دیجیتال

پاسخ کمپانی Trezor به ادعای آسیب‌پذیری کیف‌پول‌هایش

Posted on Author ارز مانیتور دیدگاه(0)

پاسخ کمپانی Trezor به ادعای آسیب‌پذیری کیف‌پول‌هایش که توسط رقیب خود (تیم لجر) بیان شده بود.

چند وقت قبل کمپانی تولید کیف‌پول‌های سخت‌افزاری Ledger با انتشار گزارشی اعلام کرد که توانسته در کیف‌پول‌های شرکت رقیب خود یعنی Trezor چندین آسیب‌پذیری جدید و حساس پیدا کرده است . حالا کمپانی Trezor نیز با انتشار گزارشی اعلام کرد آسیب‌پذیری‌های اعلام شده تقریبا غیرقابل استفاده هستند.

لجر از ۵ آسیب‌پذیری در کیف پول‌های سخت‌افزاری ترزور خبر داد

کمپانی تولید کننده‌ی کیف‌پول‌های سخت‌افزاری Trezor به ادعاهای کمپانی Ledger مبنی بر آسیب‌پذیر بودن کیف‌پول‌های Trezor One و Trezor T پاسخ داد. در تازه‌ترین نمایشگاه Bitcoin Expo که در دانشگاه MIT در شهر بوستون برگزار شد، چارلز گلیمت(Charles Guillemet) افسر ارشد بخش امنیت کمپانی Ledger ادعا کرد که چهار دستگاه از کیف‌پول‌های Trezor توسط محققین این شرکت کاملا شکسته شده و آن‌ها توانسته‌ پس از عبور از بخش‌های امنیتی به دارایی‌های آن‌ها دسترسی پیدا کنند. کمپانی Ledger پس از مدتی با انتشار یک گزارش با نام «امنیت مشترک ما اعلام کرد که توانسته پنج آسیب‌پذیری کلیدی در محصولات کمپانی رقیب خود یعنی Trezor‌ پیدا کند.

یک روز پس از آنکه کمپانی لجر گزارش خود را منتشر کرد، کمپانی Trezor نیز به اظهارات رقیب خود پاسخ داد و گزارشاتی با نام “پاسخ ما به یافته‌های Ledger در گردهمایی MIT Bitcoin Expo” منتشر کرد.

کمپانی Trezor گفت حملات اشاره شده توسط کمپانی رقیب اصلا قابل بهره‌برداری نیستند. در بخش‌های دیگری از این گزارش آمده است:

ما می‌خواهیم تا این واقعیت را مشخص کنیم که هیچ‌ یک از حملات گفته شده قابل بهره‌برداری به صورت از راه دور نیستند. تمام روش‌های حمله‌ی نشان داده شده توسط Ledger نیاز به دسترسی فیزیکی به کیف‌پول‌های شما، تجهیزات تخصصی، زمان و تخصص فنی دارند.

در گزارشات کمپانی Ledger آسیب‌پذیری‌های سوم، چهارم و پنجم مربوط به داده‌ها و هک شدن کلید‌های خصوصی است که نیازمند دسترسی فیزیکی به کیف‌پول‌های Trezor است.

گزارشات کمپانی Trezor که برگرفته شده از گزارش صرافی بایننس (Binance) است اعلام می‌کند که تنها ۵/۹۳ درصد از حملات مربوط به حملات فیزیکی و دزدی هستند، در حالی که ۶۶ درصد حملات به صورت از راه‌ دور اتفاق می‌افتد. در تحقیقات کمپانی Trezor گفته شده مشتریانی که از حملات فیزیکی واهمه دارند، می‌توانند از «کلمات کلیدی عبور یا Passphrase» استفاده کنند.

کمپانی Trezor در ادامه اظهار می کند که مقابله با حملات از راه دور اصلی‌ترین هدف این کمپانی در زمان تولید کیف‌پول‌های سخت‌افزاری بوده است.

هدف اصلی تولید کیف‌پول‌های سخت‌افزاری جلوگیری از به سرقت رفتن دارایی کاربران در مقابل حملات بد‌افزاری، ویروس‌های کامپیوتری و دیگر خطرات از راه دور (مانند سرقت تمام دارایی‌های ذخیره شده در کیف‌پول‌های Ledger‌ با استفاده از تغییر آدرس مخفی یا Stealth) بوده است.

کمپانی Ledger همچنین ادعا کرده بود که می‌توان یگپارچکی کیف پول های سخت‌افزاری Trezor را تقلید و یک نمونه‌ی تقلبی از آن‌ها ساخت. کمپانی Trezor نیز دراین رابطه اینگونه توضیح داد:

هیچ راهی وجود ندارد که یک قطعه‌ی سخت‌افزاری بتواند خودش و یکپارچگی اش را ببرسی کند. تاییدیه‌ی سخت‌افزاری یک راه‌حل برای این مشکل نیست، زیرا می‌توان با ایجاد تغییرات سخت‌افزاری در این دستگاه‌ها کاری کرد که اصل بودن آن‌ها تایید شود.

کمپانی Trezor با اشاره به ادعای Ledger مبنی بر آسیب‌پذیری در برابر حملات Side-Channel اظهار کرد که این آسیب‌پذیری توسط «روش Back-Porting و نحوه‌ی ذخیره‌سازی داده‌های آن» در کیف‌پول‌های Trezor One و Trezor T برطرف شده است.

این کمپانی در ادامه توضیح داد هنگامی که آسیب‌پذیری مربوط به رمزعبور یا PIN رفع شود، استخراج کلید مخفی با استفاده از روش‌های ضرب مقیاس Side-Channel نیز اصلاح خواهد شد.

کمپانی T‌rezor همچون اعلام کرد که Ledger‌ از آن‌ها خواسته که به دلیل پیامد‌های گسترده‌ای که ممکن است برای صنعت تولید میکرو تراشه‌ها (Microchip) به همراه داشته باشد، از ارائه‌ی هرگونه نتیجه‌گیری بپرهیزد. این کمپانی افزود که Ledger از ارائه‌ی اطلاعات بیشتر در این مورد خودداری کرد.

در نهایت کمپانی Trezor‌ از کاربران خود خواست تا برای افزایش امنیت دارایی‌های خود از روش محافظت به وسیله‌ی کلمات کلیدی و قراردادن چندین کلمه‌ی کلیدی برای دستگاه‌های خود استفاده کنند. مارک پالاتینوس(Marek Palatinus) مدیرعامل بخش تحقیقاتی SatoshiLabs و سازنده‌ی کیف‌پول‌های سخت‌افزاری کمپانی Trezor‌ نتیجه گرفت:

ما می‌خواهیم از کمپانی Ledger برای تشریح این نوع حملات که از زمان طراحی کیف‌پول‌های Tr‌ezor از آن‌ها اطلاع داشتیم، تشکر کنیم. از آنجایی که ما متوجه هستیم هیچ دستگاه سخت‌افزاری به صورت ۱۰۰ درصد امن نیست، ما مفهوم کلمات کلیدی بازیابی حساب(Passphrase) را معرفی کردیم، که علاوه بر واکنش‌پذیری‌های احتمالی بسیاری از انواع حملات فیزیکی دیگر مانند این موارد را رفع می‌کند.

پاسخ ترزور به ادعای رقیب خود

کمپانی Trezor

کمپانی Trezor با انتشار تصویر بالا اعلام کرد که آسیب پذیری های اعلام شده توسط کمپانی Ledger با استفاده از بروزرسانی‌های امنیتی و دیگر روش‌های ممکن، برطرف شده‌اند.

منبع:ambcrypto

Short link : https://arzmonitor.com/?p=4492

مطالب مرتبط

بحران در ICO ها
اخبار ارز دیجیتال

بحران در ICO ها، از دست دادن پول بدون محصولات

Posted on Author ارز مانیتور

بحران در ICO ها، از دست دادن پول بدون محصولات بحران در ICO ها ،در بازار معرف به بازار گاوی و نزولی سال ۲۰۱۸، پروژه‌های عرضه‌ اولیه‌ سکه (ICOها) در بازار ارزهای دیجیتال، به‌ طور متوسط ده‌ ها میلیون دلار از سرمایه‌گذاران بازار برای ایجاد برنامه‌های غیرمتمرکز (dApps) و سیستم‌ها جمع آوری کردند. پس از […]

بنیاد Tron
اخبار ارز دیجیتال

بنیاد Tron مالک جدید BlockChain.Org شد

Posted on Author ارز مانیتور

بنیاد Tron مالک جدید BlockChain.Org شد بنیاد Tron در تاریخ ۱۰ام آگوست۲۰۱۸ اعلام کرد که موفق به کسب مالکیت دامنه‌ی Blockchain.Org شده است. جاستین سان(Justin Sun) معتقد است که وب‌سایت یاد شده یک پلت‌فرم موتور جستجو متشکل از یک فضای داده‌ی متراکم خواهد بود. در ادامه‌ی این اعلامیه آمده بود که: این وب‌سایت، پلت‌فرمی خواهد بود […]

هاوینگ بیت کوین
اخبار ارز دیجیتال

اختلاف نظر در پیش‌بینی‌های هاوینگ بیت کوین

Posted on Author ارز مانیتور

فرآیند هاوینگ بیت کوین باعث ایجاد نظرات مختلف در فضای ارز دیجیتال شده است. بعضی معتقدند که هاوینگ باعث افزایش قیمت بیت کوین می‌شود و برخی نیز معتقدند که…

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *