Ledger odhalil pět chyb zabezpečení ve dvou konkurenčních peněženkách Trezor

0
trezor

Podle v pondělí zveřejněné zprávy odhalil výrobce hardwarových peněženek Ledger zranitelná místa v zařízeních přímého konkurenta Satoshi Labs, původem českého výrobce hardwarových peněženek Trezor. Níže probereme detailněji jak údajných pět chyb zabezpečení, tak vyjádření Satoshi Labs. 

5 chyb v zabezpečení Trezoru?

Zpráva od firmy Ledger uvádí, že chyby zjistila společnost Attack Lab, respektive jedno z odděleních společnosti, která proniká do vlastních i konkurenčních zařízení, aby zlepšila bezpečnost. Společnost Ledger tvrdí, že opakovaně oslovila Trezor ohledně nedostatků v zabezpečení peněženek Trezor One a Trezor T a že se rozhodla tyto chyby zveřejnit až poté, co nedostala odpověď. Zveřejnění těchto údajných nedostatků v zabezpečení proběhlo během konference MIT Bitcoin Expo.

Přečtěte si také: Konkurence pro Ledger a Trezor? Kryptopeněženka do SIM slotu

Odpověď Satoshi Labs

Odpověď od Satoshi Labs na sebe nenechala dlouho čekat. Satoshi Labs vydala před chvílí rozsáhlý komentář k prohlášení svého konkurenta, kde rozebírá jednotlivé údajné chyby v zabezpečení do detailu.

Nejdůležitější ale je, že žádná z těchto údajných chyb v zabezpečení není použitelná pro vzdálený útok (remote attack), který je největší hrozbou všech hardwarových peněženek a proti kterému zejména peněženky Trezor chrání své zákazníky.

Satoshi Labs dále uvádí, že žádná hardware peněženka neochrání své uživatele na 100 % před fyzickým útokem (krádeží zařízení), nicméně při použití silné bezpečnostní fráze a alespoň základních pravidel pro bezpečnost ani níže uvedených pět možných útoků uživatele peněženek Trezor neovlivní.

K tématu zabezpečení jsme také psali: Bezpečnostní pravidla v neregulovaném světě kryptoměn

A nyní k údajným bezpečnostním problémům peněženek Trezor

Problém 1 – Útok na dodavatelský řetězec
„Útoky na dodavatelský řetězec“ jsou věčným problémem pro všechna hardwarová zařízení (nejen peněženky) bez ohledu na to, jak dobře mohou být chráněny. Tomu se dá předejít například tím, že výroba peněženek Trezor probíhá v EU, kde je kontrolován celý výrobní proces.

Problém 2 – Tzv. „Software Crappy Attack“
Během testování základního programu peněženky Trezor zjistili výzkumníci společnosti Ledger pouze dvě chyby. A ačkoli tyto chyby nebyly využitelné pro útok, společnost Satoshi Labs je opravila.

Problém 3 – Podsunutí PIN kódu 
Podle vyjádření Satoshi Labs byl tento útok na Trezor One opravdu impozantní. Satoshi Labs odstranila tento problém zálohováním během ukládání dat na Trezor Model T do Trezor One.

Problém 4 – Skalární multiplikace útoku skrz vedlejší kanál
Tato chyba zabezpečení předpokládá, že útočník má PIN uživatele, fyzický přístup k zařízení a případně heslo. S tím ale může útočník poslat všechny prostředky z hardwarového zařízení i bez využití tohoto typu útoku.

Problémy 5 + 6 – Útok s pomocí extrahování dat flash karty z peněženek Trezor One a Trezor T
Tyto dva útoky jsou ve skutečnosti podobné. Tento způsob útoku je náročný na zdroje, vyžaduje laboratorní vybavení pro manipulaci s mikročipem stejně jako hluboké odborné znalosti v této oblasti.

Tip redakce: Jak být ve světě kryptoměn opravdu v bezpečí

Shrnutí

Z odpovědi od Satoshi Labs a z následujícího obrázku vyplývá, že Satoshi Labs berou bezpečnost svých produktů vážně a nařčeními se zabývali opravdu důkladně. Nicméně i přes veškerá bezpečnostní opatření nemůže nikdo zaručit 100% bezpečnost vašich dat (kryptoměn) a je tak zejména na vás, abyste si riziko vyhodnotili a zejména dodržovali základní bezpečnostní pravidla.

Co číst dále?

Švýcarská burza akcií svým klientům zprostředkuje obchodování XRP!

Zdroje:
Cointelegrah.com
Blog.trezor.io

Komentujte

avatar
  Subscribe  
Upozornit na