El mayor fabricante de carteras de hardware Ledger publicó un informe en el que reveló públicamente las vulnerabilidades en los dispositivos de su principal competidor, Trezor , según informó Cointelegraph.
El estudio dice que las vulnerabilidades fueron descubiertas por Attack Lab, una división de la compañía que piratea sus propios dispositivos y los de sus competidores para aumentar la seguridad.
Según Ledger, recurrieron repetidamente a Trezor sobre las debilidades en Trezor One y Trezor T , y decidieron hacerlas públicas una vez que finalice el período de divulgación.
- El primer problema es la originalidad, donde puede simular un dispositivo Trezor pirateando con malware, y luego volver a sellarlo en una caja, forjando una etiqueta de acceso no autorizado que se dice que se puede quitar fácilmente. Ledger afirma que esta vulnerabilidad solo puede eliminarse mediante la reconstrucción de las carteras de Trezor.
- En segundo lugar, los hackers de Ledger encontraron una manera de obtener un PIN de la cartera de Trezor usando un ataque de canal lateral y lo informaron a Trezor a fines de noviembre de 2018. Más tarde, la compañía resolvió este problema en su actualización de firmware 1.8.0.
- La siguiente vulnerabilidad que Ledger propone eliminar al reemplazar el componente principal con el chip Secure Element es la posibilidad de robar datos confidenciales del dispositivo, afirmando que un atacante con acceso físico a Trezor One y Trezor T puede extraer todos los datos de la memoria flash y obtener control sobre los activos. almacenado en el dispositivo.
- La última debilidad encontrada es que Trezor One no contiene contramedidas adecuadas contra ataques de hardware. El equipo afirma que un hacker con acceso físico al dispositivo puede extraer la clave privada a través de un ataque de canal lateral, aunque Trezor declaró que las billeteras son resistentes a esto.
Se sabe que en noviembre de 2018, Trezor advirtió que un tercero desconocido estaba distribuyendo copias de su dispositivo estrella, Trezor One. Los dispositivos falsos parecían provenir de China, y por lo tanto, la compañía llamó para comprar billeteras solo desde el sitio web de la compañía.
En el informe, Ledger afirma que los usuarios no pueden estar seguros, incluso si compran equipo en el sitio web oficial de Trezor, porque un atacante puede comprar varios dispositivos, piratearlos y luego enviarlos de vuelta al fabricante para obtener una compensación. Ledger sugiere que en caso de reventa de un dispositivo comprometido, la criptomoneda del usuario puede ser robada.
Fecha de publicación 12.03.2019
Comparte este material en las redes sociales y deja tu opinión en los comentarios a continuación.
