Ledger odhalil päť chýb zabezpečenia v dvoch konkurenčných peňaženkách Trezor

Catslap PC banerOkazio mobil

Podľa správy zverejnenej v pondelok odhalil výrobca hardvérových peňaženiek Ledger zraniteľné miesta v zariadeniach priameho konkurenta Satoshi Labs, pôvodom českého výrobcu hardvérových peňaženiek Trezor. Nižšie preberieme detailnejšie ako údajných päť chýb zabezpečenia, tak aj vyjadrenie Satoshi Labs. 

5 chýb v zabezpečení Trezoru?

Správa od firmy Ledger uvádza, že chyby zistila spoločnosť Attack Lab, oddelenie spoločnosti, ktorá preniká do vlastných aj konkurenčných zariadení, aby zlepšila bezpečnosť. Spoločnosť Ledger tvrdí, že opakovane oslovila Trezor ohľadom nedostatkov v zabezpečení peňaženiek Trezor One a Trezor T a že sa rozhodla tieto chyby zverejniť potom, čo nedostala odpoveď. Zverejnenie týchto údajných nedostatkov v zabezpečení prebehlo počas konferencie MIT Bitcoin Expo.

Prečítajte si tiež: Konkurencia pre Trezor a Ledger? Hardvérová kryptopeňaženka do SIM slotu

Odpoveď Satoshi Labs

Odpoveď od Satoshi Labs nenechala na seba dlho čakať. Satoshi Labs vydala pred chvíľou rozsiahly komentár k vyhláseniu svojho konkurenta, kde rozoberá jednotlivé údajné chyby v zabezpečení do detailov.

Najdôležitejšie ale je, že žiadna z týchto údajných chýb v zabezpečení nie je použiteľná na vzdialený útok (remote attack), ktorý je najväčšou hrozbou všetkých hardvérových peňaženiek a proti ktorému najmä peňaženky Trezor chránia svojich zákazníkov.

Satoshi Labs ďalej uvádza, že žiadna hardvér peňaženka neochráni svojich používateľov na 100 % pred fyzickým útokom (krádežou zariadenia). Práve tak pri použití silnej bezpečnostnej frázy a aspoň základných pravidiel na bezpečnosť ani nižšie uvedených päť možných útokov používateľov peňaženiek Trezor neovplyvní.

K téme zabezpečenia sme tiež písali: Bezpečnostné pravidlá v neregulovanom svete kryptomien

A teraz k údajným bezpečnostným problémom peňaženiek Trezor

Problém 1 – Útok na dodávateľský reťazec
„Útoky na dodávateľský reťazec” sú večným problémom pre všetky hardvérové zariadenia (nielen peňaženky) bez ohľadu na to, ako dobre môžu byť chránené. Tomu sa dá predísť napríklad tým, že výroba peňaženiek Trezor prebieha v EÚ, kde je kontrolovaný celý výrobný proces.

Problém 2 – Tzv. „Software Crappy Attack”
Počas testovania základného programu peňaženky Trezor zistili výskumníci spoločnosti Ledger len dve chyby. A hoci sa tieto chyby nedali využiť na útok, spoločnosť Satoshi Labs ich opravila.

Problém 3 – Podsunutie PIN kódu 
Podľa vyjadrenia Satoshi Labs bol tento útok na Trezor One naozaj impozantný. Satoshi Labs odstránila tento problém zálohovaním počas ukladania dát na Trezor Model T do Trezor One.

Problém 4 – Skalárna multiplikácia útoku cez vedľajší kanál
Táto chyba zabezpečenia predpokladá, že útočník má PIN používateľa, fyzický prístup k zariadeniu a prípadne heslo. S tým ale môže útočník poslať všetky prostriedky z hardvérového zariadenia aj bez využitia tohto typu útoku.

Problémy 5 + 6 – Útok pomocou extrahovania dát flash karty z peňaženiek Trezor One a Trezor T
Tieto dva útoky sú v skutočnosti podobné. Tento spôsob útoku je náročný na zdroje, vyžaduje laboratórne vybavenie na manipuláciu s mikročipom rovnako ako hlboké odborné znalosti v tejto oblasti.

Zhrnutie

Z odpovede od Satoshi Labs a z nasledujúceho obrázka vyplýva, že Satoshi Labs berie bezpečnosť svojich produktov vážne a obvinením sa zaoberali dôkladne. Aj napriek celkovým bezpečnostným opatreniam však nikto nemôže zaručiť 100 % bezpečnosť vašich dát (kryptomien) a záleží teda najmä od vás, aby ste si riziko vyhodnotili a najmä dodržiavali základné bezpečnostné pravidlá.

Čo čítať ďalej?

Švajčiarska burza akcií svojim klientom sprostredkuje obchodovanie XRP!

Zdroje:
Cointelegrah.com
Blog.trezor.io

Nepremeškajte naše ďalšie spravodajstvo a prihláste sa na odber noviniek (návod nájdete tu). Nezabudnite nás tiež sledovať na našom Facebooku a najnovšie aj na Instagrame Twitteri.

Preložené z českého originálu, ktorý pre vás pripravila Denisa.

txbtxb