В этот понедельник производитель аппаратных кошельков Ledger обнародовал информацию о найденных уязвимостях в устройствах своего прямого конкурента Trezor, пишет Cointelegraph.

Изучение устройств проводилось в Attack Lab, отделе компании, где взламываются как собственные устройства, так и устройства конкурентов с целью повышения безопасности. Ledger сообщает, что уже неоднократно обращался к Trezor по поводу слабых мест в их кошельках Trezor One и Trezor T, но реакции так и не последовало, поэтому компания решила публично заявить об уязвимостях.

Согласно отчету, первая проблема связана с оригинальностью устройств. Ledger пишет, что устройство Trezor можно имитировать, взломав устройство с помощью вредоносного ПО, а затем повторно запечатав его в коробке, подделать защищенную от несанкционированного доступа наклейку, которую, как оказалось, легко удалить.

Устранить данную уязвимость, как считает команда Ledger, можно лишь путем перестройки конструкции кошельков Trezor и, в частности, путем замены одного из основных компонентов на чип Secure Secure.

Во-вторых, хакеры Ledger догадались о значении PIN-кода на кошельке Trezor с помощью атаки по побочному каналу и сообщили об этом Trezor в конце ноября 2018 года. Позднее компания решила эту проблему в своем обновлении прошивки 1.8.0.

Третья и четвертая уязвимости, которые, предположительно, можно устранить, заменив основной компонент микросхемой Secure Element, заключаются в возможности кражи конфиденциальной информации. Команда Ledger утверждает, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над хранящимися активами.

Последнее слабое место связано с моделью безопасности Trezor: согласно отчету, криптографическая библиотека Trezor One не содержит надлежащих контрмер против аппаратных атак. Хакер с физическим доступом к кошельку может извлечь секретный ключ посредством атаки по побочному каналу, хотя Trezor утверждает, что его устройства устойчивы к нему.

В ноябре 2018 года Trezor предупредил, что неизвестная сторона распространяет индивидуальные копии устройства Trezor One. Поддельные кошельки были родом из Китая. Компания призвала владельцев покупать кошельки только с веб-сайта Trezor.

Однако Ledger сомневается, что покупка на официальном сайте на 100% убережет от опасности. Злоумышленник может купить несколько устройств, взломать их, а затем отправить их обратно производителю с просьбой о компенсации. Ledger пишет, что в случае повторной продажи скомпрометированного устройства пользовательские криптовалюты могут быть украдены.