Los fabricantes de carteras de hardware populares para almacenar Bitcoin y otras criptomonedas Ledger y Trezor publicaron declaraciones oficiales en las que respondieron a la información que los investigadores de wallet.fail supuestamente lograron identificar varios vectores de ataque en sus dispositivos.
Por ejemplo, la compañía francesa Ledger declaró que aunque los investigadores indicaron tres vectores de ataque que dan la impresión de que los dispositivos tienen vulnerabilidades críticas, esto no es cierto.
Ayer, el equipo de https://t.co/qbY5avXAsw realizó una reunión sobre las vulnerabilidades potenciales de las carteras de hardware. Mientras se muestran los ataques.
Lea más aquí: https://t.co/jqHnJVzeU9
– Libro mayor (@LedgerHQ) 28 de diciembre de 2018
"No pudieron eliminar el PIN o la frase semilla del dispositivo robado. Todos los activos críticos en el elemento de seguridad están protegidos. No hay razón para preocuparse: sus activos de criptomoneda todavía están seguros ", dice el blog Ledger.
Recuerde que el equipo de Wallet.fail afirmó exactamente lo contrario: según su declaración , los investigadores lograron extraer el PIN y el núcleo mnemotécnico de Trezor RAM, firmar de forma remota la transacción y descifrar el cargador Ledger Nano S, e interceptar el PIN del azul de Ledger.
Sin embargo, los desarrolladores de Ledger denominaron la modificación física "impráctica" de la cartera de Ledger Nano S, seguida de la instalación de malware en la computadora de la víctima y la posibilidad de firmar transacciones después de ingresar el código PIN.
"Un pirata informático motivado definitivamente usaría técnicas más efectivas, por ejemplo, instalar una cámara para corregir un PIN en el momento en que el usuario lo ingresó " , dicen los representantes de Ledger.
El fabricante también insiste en que obtener acceso físico al dispositivo e instalar malware en la computadora de la víctima es demasiado complicado, lo que también implica que el pirata informático tiene que esperar a que el usuario inicie la transacción. Sin excluir que tal escenario es posible en teoría, el equipo de Ledger no ve su realización en la vida.
Los investigadores de Wallet.fail también declararon que instalaron su propio firmware en un microprocesador. Según Ledger, tal escenario permite que el dispositivo se cambie al modo de depuración, sin embargo, las capacidades del presunto atacante probablemente estén limitadas.
"Dijeron que habían descubierto una forma de omitir la comprobación del microprocesador, pero no mostraron cómo se usó el error", dice Ledger.
La compañía francesa también comentó sobre la extracción de un código PIN del dispositivo Ledger Blue mediante un ataque de "aprendizaje automático controlado".
“Este ataque es definitivamente interesante, no te permite extraer un código PIN en condiciones reales. Para este escenario, ya hemos introducido un teclado aleatorio, con el que se ingresa el código PIN. "Una vez más, será más fácil instalar la cámara para corregir el código PIN en el momento de su entrada por parte del usuario", concluyeron los desarrolladores.
Ledger también criticó al equipo de Wallet.fail por decidir mostrar vulnerabilidades en público en lugar de recurrir a un programa de captura de errores generosos.
"La divulgación responsable de [vulnerabilidades] es la mejor práctica a seguir para proteger a los usuarios y aumentar la seguridad de nuestros productos", dijo Ledger.
Trezor: sigue usando tus dispositivos.
Mientras tanto, el fabricante de carteras con sede en Praga Trezor reconoció la vulnerabilidad, pero destacó que para poder usarla, el atacante debe tener acceso físico al dispositivo de la víctima.
Por favor, tenga en cuenta que esto es una vulnerabilidad física. Anchorman no tendría que ser una tabla, rompiendo el caso.
Si tienes algún control físico, no puedes mantenerlo.
– Trezor (@Trezor) 28 de diciembre de 2018
Para aquellos preocupados por los problemas de seguridad, la compañía recuerda que existe una función de "frase de contraseña", pero la pérdida de esta frase clave llevará a la pérdida de fondos.
Recordemos que el verano pasado, la compañía Ledger anunció que solo en 2017 vendió más de un millón de su billetera criptográfica de hardware de múltiples monedas, ganando un total de $ 29 millones.
BlockchainJournal.news
