Wallet.fail, un equipo de investigación de seguridad con sede en Berlín, ha lanzado una serie de ataques físicos exitosos en dispositivos de hardware populares de Trezor y Ledger .
Durante la presentación en el 35º Congreso de Comunicación del Caos en Leipzig, Josh Datko, Dmitry Nedospasov y Thomas Roth demostraron con éxito una serie de varios ataques contra las populares carteras de hardware Trezor y Ledger.
Las vulnerabilidades que se han presentado van desde las que pueden solucionarse actualizando el firmware, hasta los errores que requerirán un nuevo equipo, informa Bitsonline .
comprometer el gestor de arranque para ejecutar snake ? pic.twitter.com/AUNzR0HGar
– Afri ?️ (@ 5chdn) 27 de diciembre de 2018
En particular, algunas de las hazañas demostradas incluyen lo siguiente:
- Obteniendo un PIN y una frase mnemotécnica de Trezor RAM;
- Firmar transacciones de forma remota a través de Ledger Nano S comprometido;
- Led azul de interceptación PIN;
- Carencia de carga Ledger Nano S.
Además, los investigadores identificaron cinco géneros separados de vulnerabilidades que pueden usarse durante los ataques a la billetera de hardware, a saber:
- Arquitectónico
- Firmware
- Hardware;
- Fisico
- Software;
A partir de aquí, en la industria de los criptógrafos de hardware, lo más probable es que haya una revalorización de los valores. La buena noticia, por supuesto, es que los usuarios promedio probablemente nunca enfrentarán tales ataques, porque los atacantes simplemente no tendrán acceso físico a los dispositivos en la mayoría de los casos.
Para contempla con # 35c3 hallazgos sobre @Trezor : Read no estábamos informados a través de un Nuestros RESPONSABLE beforehands programa de declaración, SO <br> que la aprendimos sobre ellos desde el escenario. Tenemos que actualizarte.
– stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) 28 de diciembre de 2018
Al comentar sobre la situación, el CTO en SatoshiLabs, la compañía responsable de Trezor, escribió en su twitter que no se les informó de los errores con anticipación, por lo que se enteraron de ellos desde el escenario. También agregó que la resolución de problemas se realizará a través de una actualización de firmware a fines de enero.
Ledger hizo comentarios detallados sobre la información sobre la vulnerabilidad de sus dispositivos .
Comparte tu opinión sobre este tema en los comentarios a continuación.
